Хранение цифровой информации в медицинских учреждениях и их информационная безопасность.
Безусловно, новейшие достижения в области информационных технологий – огромное подспорье в работе медицинских работников. Применение компьютерной техники, использование ресурсов различных информационных баз, передовые технологии связи и коммуникации позволяют врачам быстро и качественно решать огромное количество задач, гибко подходить к выполнению своих обязанностей.
Современные коммуникационные сети – сложнейшие системы, открывающие перед своими пользователями колоссальные возможности и именно это естественным образом обозначает проблемы, связанные с необходимостью организации надежной защиты медицинских учреждений в указанной сфере, так как хорошо известно – с ростом сложности системы возрастает ее уязвимость. До недавнего прошлого злоумышленнику, вознамерившемуся похитить, допустим, чужую историю болезни, необходимо было искать пути проникновения в здание, открывать окна, взламывать двери, находить неформальные подходы к персоналу, или, в конце концов, устраиваться на работу в медицинское учреждение для реализации преступных планов. А сейчас, обладая необходимой аппаратурой и знаниями, можно проникать во внутренние сети компаний с помощью беспроводного доступа, находясь на другом конце земного шара и получать доступ не только к медицинской информации, но и финансовой, маркетинговой, кадровой…
На лицо – возникновение качественно нового уровня угроз.
Было бы абсолютно неправильным, говоря о развитии информационных технологий, делать упор только лишь на количество компьютеров, установленных в той или иной больнице.
Взаимозависимость человека от технической системы обуславливает необходимость применения различных мер по снижению обоюдонаправленных угроз - развитие техники требует все большей заботы о ее защите от людей. Без этих мер не обойтись, так как при нынешней роли техники в нашей жизни любая неисправность может вызвать последствия, распространяющиеся далеко за рамки среды существования отдельного человека.
Итак, какие же информационные ресурсы, использующиеся в практике медицинского учреждения, нуждаются в защите и почему?
Во-первыхэто, конечно же, врачебная тайна. В России взаимоотношения врача и пациента регулируются Основами законодательства Российской Федерации «Об охране здоровья граждан» и понятие врачебной тайны там так же присутствует. В частности, в статье 61 указано, что «информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну». Это означает, что без согласия пациента или его законного представителя (родителей, опекунов для подростков до 15 лет) не может разглашаться никакая информация, полученная врачами об этом человеке. И не важно, для чего эти сведения планируется использовать – для проведения исследований, публикаций в научной литературе, в учебном процессе медицинского ВУЗа или съемок теленовостей в больнице – эта информация конфиденциальна[4].
Необходимость в надежной защите этих сведений наиболее остро ощущают негосударственные клиники, частные медицинские учреждения, которые на сегодняшний день обладают лучшим техническим оснащением и могут предложить пациенту набор услуг, качественно отличающийся от предлагаемых в государственных поликлиниках и больницах и соответствующих передовым мировым стандартам. В связи с этим, в числе пациентов частных клиник встречаются иностранные гости (имеющие возможность общаться с медицинским персоналом на родном языке), крупные бизнесмены, политики, известные спортсмены, представители шоу-бизнеса, то есть – публичные фигуры. Интерес к ним со стороны публики, приобретающий, зачастую, причудливые формы, всегда был высоким, а эксклюзивная информация о «сильных и известных мира сего» ценилась на вес золота. Но не только праздным интересом читателей бульварной прессы подогревается обстановка вокруг VIP-персон. В сложившейся в нашей стране, на настоящий момент, экономической и политической обстановке, обладание врачебной (да и иной другой) информацией о конкуренте, и не важно - политик он или бизнесмен, звезда спорта или сцены, является реальным рычагом воздействия на оппонента.
Таким образом, использование беспроводных технологий и электронного документооборота накладывает на медиков значительные обязательства по сохранению этих данных в неприкосновенном виде, так как риск увидеть информацию о пациентах, размещенную в сети Интернет или распространяемую в метро на компьютерном диске, весьма велик – не проходит месяца, что бы СМИ не сообщили об очередной краже какой-нибудь базы данных - из банка или таможни.
Каков характер информационных рисков, сопутствующих работе медицинского учреждения? Учитывая тот факт, что информация является как инструментом в работе врача, так и продуктом его работы, она (информация) должна быть объективной, полной и своевременной, а требования к обеспечению информационной безопасности должны сводиться к трем основным пунктам:
- недопущение несанкционированного доступа к собственным информационным ресурсам, а также к информации клиентов и партнеров, использующейся в работе
- противодействие намеренному или случайному вмешательству с целью уничтожения или модификации информации
- обеспечение непрерывности функционирования информационных систем, их аппаратных модулей и программного обеспечения
На данный момент можно смело утверждать, что поддержание режима информационной безопасности, как состояния защищенности информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений (в т. ч. - владельцам и пользователям информации и поддерживающей инфраструктуры)[7], находится в тесной и неразрывной связи с другими направлениями обеспечения жизнедеятельности медицинского учреждения, такими как:
- физическая безопасность (обеспечение контроля доступа в учреждение и помещения с находящимися в них компьютерами, сетевым оборудованием, иной информационно-вычислительной техникой и т. д.),
- технико-технологическая безопасность (соблюдение правил эксплуатации и использования, соблюдение техники безопасности и т. д.)
- кадровая безопасность (оценка и подбор персонала, повышение квалификации, изучение уровня лояльности и благонадежности и т. д.)
- нормативно-правовые меры (издание распоряжений, приказов, разработка инструкций, правил, алгоритмов и планов и схем действий персонала и т. д.)
Конечно, приведенный перечень не полон и нуждается в расширении и детализации.