Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Методи та засоби захисту медичної інформації





Захист інформації—сукупність засобів, методів, організаційних заходів щодо попередження можливих випадкових або навмисних впливів природного чи штучного характеру, наслідком яких може бути нанесення збитків чи шкоди власникам інформації або її користувачам, інформаційному простору. Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності.

До основних задач забезпечення інформаційної безпеки належать:

• виявлення, оцінка та прогнозування джерел загроз інформаційній безпеці;

• розробка державної політики забезпечення інформаційної безпеки та комплексу заходів і механізмів її реалізації;

• створення нормативно-правових засад забезпечення інформаційної безпеки, координація діяльності органів державної влади та управління, установ та підприємств по реалізації політики інформаційної безпеки;

• розвиток системи забезпечення інформаційної безпеки, вдосконалення її організації, форм, методів і засобів запобігання загрозам інформаційній безпеці та ліквідації наслідків її порушення;

• забезпечення участі України в процесах створення і використання глобальних інформаційних мереж та систем.

Засоби впливу загроз на інформаційну безпеку поділяються на інформаційні, програмно-математичні, фізичні, радіоелектронні, організаційно-правові.

До інформаційних засобів належать:

• порушення своєчасності інформаційного обміну, протизаконні збір і використання інформації;

• несанкціонований доступ до інформаційних ресурсів;

• маніпулювання інформацією (дезінформація, укриття та викривлення інформації);

• незаконне копіювання інформації в інформаційних системах;



• використання засобів масової інформації з позицій, які суперечать інтересам громадян, організацій чи держави;

• викрадення інформації з бібліотек, архівів, банків і баз даних;

• порушення технології обробки інформації.

До програмно-математичних засобів належать: запуск програм-вірусів; установка програмних і апаратних закладних пристроїв; знищення і модифікація даних в інформаційних системах.

Фізичні засоби включають: знищення або руйнування засобів обробки інформації і зв’язку; знищення, руйнування чи викрадення оригінальних носіїв інформації; викрадення програмних чи апаратних ключів і засобів криптографічного захисту інформації; вплив на персонал; поставка «інфікованих» компонентів інформаційних систем.

До радіоелектронних засобів належать:

• перехоплення інформації в технічних каналах її витоку;

• будова електронних пристроїв перехоплення інформації в технічних засобах і приміщеннях;

• перехоплення, дешифрування та подання хибної інформації в мережах передачі даних і мережах зв’язку;

• вплив на парольно-ключові системи;

• радіоелектронне придушення мереж зв’язку і систем керування.

До організаційно-правових засобів слід віднести купівлю недосконалих або застарілих інформаційних технологій та засобів інформатизації; невиконання вимог законодавства та затримку прийняття необхідних нормативно-правових положень в інформаційній сфері; неправомірне обмеження доступу, до документів, в яких знаходиться важлива для громадян та організацій інформація.

Методи запобігання та ліквідації загроз інформаційній безпеці

Для запобігання та ліквідації загроз інформаційній безпеці використовують правові, програмно-технічні і організаційно-економічні методи.

Правові методи - передбачають розробку комплексу нормативно-правових актів і положень, регламентуючих інформаційні відносини в суспільстві, керівних і нормативно-методичних документів щодо забезпечення інформаційної безпеки.

Програмно-технічні методи — це сукупність засобів:

• запобігання витоку інформації,

• виключення можливості несанкціонованого доступу до інформації,

• запобігання впливам, які призводять до знищення, руйнування, спотворення інформації, або збоям чи відмовам у функціонуванні засобів інформатизації,

• виявлення закладних пристроїв,

• виключення перехоплення інформації технічними засобами,

• використання криптографічних засобів захисту інформації при передачі по каналах зв’язку.

Категорії інформаційної безпеки

Інформація з погляду інформаційної безпеки має наступні категорії:

конфіденційність – гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації. Дане поняття можна трактувати й так: конфіденційність – інструмент захисту секретності, котрий має на увазі обмеження на доступ до інформації. Пацієнт, довіряючи лікарю конфіденційні дані, розраховує, що ця інформація не буде розкрита;

цілісність – гарантія того, що інформація зараз існує в її вихідному виді, тобто при її збереженні або передачі не було зроблено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення;

секретність – це право індивідуума керувати зберіганням, використанням та розкриттям особистої інформації. Прихильники секретності наполягають, щоб індивідуум був інформований відносно того, як інформація повинна бути розкрита.

захист – це способи і методи від випадкового чи зумовленого розкриття інформації стороннім особам, а також від деструктивних дій і втрат.

автентичність – гарантія того, що джерелом інформації є саме та особа, що заявлена як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення;

апельованість – досить складна категорія, але часто застосовувана – гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він автор повідомлення, а при порушенні апельованості – сам автор намагається "відхреститися" від своїх слів, підписаних ним один раз.

У відношенні до інформаційних систем застосовуються інші категорії :

надійність – гарантія того, що система поводиться в нормальному і позаштатному режимах так, як заплановано;

точність – гарантія точного і повного виконання всіх команд
контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються;

контрольованість – гарантія того, що в будь-який момент може бути зроблена повноцінна перевірка будь-якого компонента програмного комплексу;

контроль ідентифікації – гарантія того, що клієнт, підключений у даний момент до системи, є саме тим, за кого себе видає.

Питання безпеки

Інформаційні системи у ОЗ працюють із надзвичайно особистими даними, що накладає жорсткі вимоги до безпеки таких систем. Тільки авторизовані постачальники медичної допомоги повинні мати доступ до даних пацієнтів. З іншого боку, система безпеки неповинна заважати щоденній роботі медпрацівників.

Наступний перелік резюмує декілька питань безпеки, які потрібно вирішити при впровадженні госпітальної інформаційної системи та ЕМК:

· підтвердження автентичності користувачів та права доступу;

· управління сесіями та єдиний вхід в систему;

· дані перевірки та історія версій;

· адміністрування користувачів;

· шифрування бази даних та резервних копій;

· шифрування мереженого трафіку;

· фізична безпека;

Архітектура безпеки даних

Архітектура безпеки даних повинна бути спланована таким чином, щоб вона підходила і регіональним системам, і основним локальним інформаційним системам. Елементи безпечної комунікації наведено на рисунку нижче:

 
 

 

 


 

 

       
   
 
 

 


Підтвердження автентичності означає, що користувач буде перевірятися не лише на початку сесії, але також під час неї. Підтвердження автентичності користувача повинно бути достатньо надійним, але незанадто обтяжливим. Користування без підтвердження автентичності має бути можливим тільки там, де немає необхідності у високому рівні захисту. В майбутньому має бути можливість єдиного входу в систему.

Технічні рішення для підтвердження автентичності:

• логін та пароль користувача;

• пароль на одну сесію;

• віддалене підтвердження автентичності;

• ІВК та смарт-карта;

• національне рішення та послуги смарт-карт ІВК;

• національне підтвердження автентичності ролей користувачів та послуги;

Після підтвердження автентичності користувача, роль цього користувача повинна перевірятися з використанням ролевих служб. Цей сервіс визначає розділ організації та підрозділи, а також значення цієї сесії. Також необхідна перевірка посади (напр. лікар, медсестра) та прав користувача, що відносяться до такої посади, якщо рецепти або довідки будуть видаватися пацієнту. Інтерфейс такого сервісу має бути стандартизований. Система реєструє, підписує та зберігає дозволи пацієнтів через використання бази даних дозволів.

Зміст даних дозволу:

• чиїх файлів стосується дозвіл (напр.ім’я та ІН)

• хто надав дозвіл (напр.ім’я та ІН)

• хто може використовувати інформацію (ідентифікація того, хто зробив запит)

• які файли включені в дозвіл (ідентифікація файлів)

• відділення, яке надавало лікування (код ІО)

• час лікування

• продовження допомоги (ідентифікація ланцюгу лікування)

• на який часовий інтервал надано дозвіл

• електронний підпис особи, що надала дозвіл

У відкритих та швидких мережах і запити, і дані ЕМК можуть зберігатись у основних інформаційних системах, у базах даних запитів, у копіях баз даних або у архівах.









Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2019 zdamsam.ru Размещенные материалы защищены законодательством РФ.