• Українська
  • English
Захист медичної інформації – важлива задача сьогодення
Захист медичної інформації – важлива задача сьогодення

Захист медичної інформації – важлива задача сьогодення

У 1988 році американська асоціація комп’ютерного обладнання оголосила 30 листопада міжнародним Днем захисту інформації.  Саме цього року була зафіксована перша масова епідемія «хробака».

Це змусило фахівців задуматися про необхідність комплексного підходу до забезпечення інформаційної безпеки. Епідемія показала, наскільки небезпечно довіряти комп’ютерним мережам.

Головне у комп’ютері – це інформація, яку Ви в ньому зберігаєте.

Згодом були розроблені нові жорсткі норми комп’ютерної безпеки.

30 років тому слово «комп’ютер» було відомим не для всіх, але ті хто знав, називали так пристрої розмірами з кімнату. Такі пристрої у США випускала фірма ІВМ.

Паралельно фірма ІВМ сконструювала персональні комп’ютери IBM PC до кінця не усвідомлюючи як можна їх використати. Їх мало хто помічав, але історія розставила все на свої місця і за ними виявилося майбутнє.

Інтернету тоді теж не існувало. Існував ініційований Пентагоном проект ARPAnet (Advanced Research Projects Agency Network). Використання мережі виявило її нові можливості, а також її уразливість.

2 листопада 1988 року було зафіксовано перший випадок появи особливого вірусу (прототип першого комп’ютерного вірусу з’явився ще у 1983 році), який паралізував роботу 6 тисяч інтернет-вузлів у США. Винуватцем цієї пригоди став 22 річний аспірант факультету обчислювальної техніки Корнельського університету Роберт Т. Моріс. Мета його наукової роботи була суто пізнавальною: він хотів дослідним шляхом визначити кількість користувачів Інтернету, тобто ARPAnet на той момент. Ця задача і в наш час непроста, а тоді і зовсім здавалася нетривіальною.

Моріс вирішив надіслати на всі комп’ютери США зв’язані однією мережею програму, яка б сама зібрала дані  і переслала їх своєму творцю електронною поштою. На більшості комп’ютерів працювала ОС UNIX, яка дозволяла запуск задач з одного комп’ютера на іншому, «дружньому».  Це було нескладно. Системних адміністраторів було небагато і оскільки вони знали один одного і  довіряли один одному, то не надавали серйозного значення проблемі захисту інформації.

Пізніше засоби масової інформації охрестили потенційно небезпечну програму на честь її творця – «хробак Моріса».

Збитки заподіяні програмою-хробаком було оцінено приблизно у 100 млн. доларів, і по сьогоднішнім міркам чималі кошти. Найкращі спеціалісти того часу з комп’ютерної безпеки займалися нейтралізацією наслідків дій вірусу. Код програми був серйозно законспірований, і навряд чи комусь вдалося б довести причетність молодого Моріса. Але його батько, комп’ютерний експерт Агентства національної безпеки, наполіг на тому, що синові потрібно зізнатися. Штраф, суспільні роботи, умовний термін покарання – таким було рішення суду.

Сьогодні,   30 листопада, у  міжнародний День захисту інформації  варто згадати цю історію ще раз, враховуючи наскільки змінився цифровий світ за ці десятиліття і розуміючи, яку роль відіграє інформація у житті кожного з нас.

На сьогоднішній день до тисяч вже відомих вірусів додаються ще 100-150 нових «штамів» щомісячно. Про те «як захистити свій ПК від вірусів» наш сайт вже інформував читачів.

Серед потенційних «загроз» для інформації можна виділити також  наступні: збій обладнання, втрату інформації через некоректну роботу програмного забезпечення, втрати пов’язані з несанкціонованим доступом, втрати інформації через невірне зберігання архівних даних, помилки користувачів та ін.

Багаточисельні засоби захисту інформації умовно поділяють на засоби фізичного захисту, програмні засоби захисту, адміністративні заходи.

Одним із засобів фізичного захисту є системи архівації і дублювання інформації. Актуально як для індивідуальних користувачів так і для корпоративних мереж.

Програмні засоби захисту включають антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу.

Кожен користувач повинен особисто відповідати, забезпечувати і підтримувати захист інформаційних активів і ресурсів.  Ми повинні мати хоча б мінімальні знання про можливості захисту важливої інформації.

Щодо захисту медичної інформації, оскільки вона належить до конфіденційної і є об’єктом захисту на законодавчому рівні у відповідності до Закону «Про захист персональних даних» від 01.06.2010р., № 2297-VI читачам корисно буде дізнатися про наступне.

Сьогодні йде інтенсивна інформатизація системи охорони здоров’я.  

В інформаційній системі медичного закладу об’єктами захисту є:

– інформація в базах даних (БД) систем керування базами даних (СКБД);

– ресурси файлового сервера лікувально-профілактичного закладу;

– резервні копії БД СКБД і архівні копії ресурсів файлового сервера;

– керуюча інформація операційної системи, СКБД, автоматизоване робоче місце (АРМ) адміністратора медичної інформаційної системи (МІС) та адміністратора інформаційної безпеки (ІБ);

– технологічний процес збору, обробки, зберігання та передачі інформації в МІС;

– апаратно-програмний комплекс, що забезпечує роботу МІС.

На практиці МІС мають власну систему безпеки.  Основне завдання системи безпеки – забезпечення цілісності інформації і виключення несанкціонованого доступу до ресурсів системи, її програм і даних.

До МІС висуваються підвищені вимоги щодо достовірності та обмеженості доступу до інформації, технічних заходів захисту даних і програм медичної інформаційної системи, юридичної відповідальності.

З юридичної точки зору медичні відомості є інформацією, яка складає професійну таємницю, отже доступ до них обмежений, а охорона  забезпечується законодавчо. Будь-який користувач лікувально-профілактичного закладу, отримавши доступ до МІС несе моральну, адміністративну і кримінальну відповідальність за конфіденційність інформації, яку він вносить, використовує або передає іншим користувачам.

У відповідності до цього в МІС реалізовано ряд заходів безпеки, які проводяться системно на всіх етапах її діяльності: від проектування і розробки до впровадження і експлуатації, перекривають всі відомі загрози безпеки, орієнтовані на тактичне випередження загроз, при цьому повинні відповідати нормам законодавства і відомчим актам системи охорони здоров’я.

Технічні засоби виконують такі функції захисту: створення перешкод на можливих шляхах проникнення і доступу потенційних порушників до МІС, ідентифікацію та аутентифікацію користувачів, розмежування прав доступу до ресурсів, реєстрацію подій, криптографічний захист інформації.

Програмно-технічні заходи системи безпеки МІС надають засоби розподілу прав доступу, гарантуючи можливість отримання доступу користувача тільки до тієї інформації і програмам, які необхідні для виконання функціональних обов’язків.

Інформаційна безпека забезпечується спеціальними програмними засобами – підсистемою інформаційної безпеки, що виконує такі основні функції:

– організація санкціонованого доступу до даних;

– моніторинг небезпечних подій;

– управління властивостями користувача МІС;

– ведення журналів безпеки.

Описані засоби забезпечення безпеки дозволяють МІС здійснювати необхідний комплекс заходів захисту інформації та програм, що є необхідною умовою придатності МІС до її експлуатації.

Пам’ятайте: проблему втрати інформації простіше попередити, аніж боротися з наслідками.

Матеріали підготувала доцент кафедри біологічної  фізики та медичної інформатики Олена Олар.

Корисно знати