Главная - Другое - Защита персональных данных в информационных системах мед организаций

Защита персональных данных в информационных системах мед организаций


Требования по ЗИ от Минздрава


Ранее я уже рассматривал и указал, что «предстоит выпуск аналогичного документа по ГИС в сфере здравоохранения. Это прописано в п.4 ст.91 323-ФЗ

«Об основах охраны здоровья граждан в Российской Федерации»

:«Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций устанавливаются уполномоченным федеральным органом исполнительной власти.» name=&#39more&#39> И вот 24 декабря 2018 г. Минздравом утвержден приказ №911н

«Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций»

, который в настоящее время находится на регистрации в Минюсте. Пока опубликован только проект приказа.

Вопрос: А где 187-ФЗ? Почему только 149-ФЗ и 152-ФЗ указаны? Минздрав до сих пор не в курсе, что уже как полтора года ГИС, функционирующие в сфере здравоохранения, относятся к объектам КИИ? Важное:1. Требования распространяются не только на ГИС, но и на все ИС.

У любых медицинских и фармацевтических организаций. Напомню, что по Федеральному закону от 21.11.2011 N 323-ФЗ Медицинская организация — юридическое лицо независимо от организационно-правовой формы, осуществляющее в качестве основного (уставного) вида деятельности медицинскую деятельность на основании лицензии, выданной в порядке, установленном законодательством Российской Федерации о лицензировании отдельных видов деятельности.

Положения настоящего Федерального закона, регулирующие деятельность медицинских организаций, распространяются на иные юридические лица независимо от организационно-правовой формы, осуществляющие наряду с основной (уставной) деятельностью медицинскую деятельность, и применяются к таким организациям в части, касающейся медицинской деятельности. В целях настоящего Федерального закона к медицинским организациям приравниваются индивидуальные предприниматели, осуществляющие медицинскую деятельность; Фармацевтическая организация — юридическое лицо независимо от организационно-правовой формы, осуществляющее фармацевтическую деятельность (организация оптовой торговли лекарственными средствами, аптечная организация). В целях настоящего Федерального закона к фармацевтическим организациям приравниваются индивидуальные предприниматели, осуществляющие фармацевтическую деятельность.2.

Требования Минздрава ужесточают нормы 17 и 21 Приказов ФСТЭК.3.

Обязательное наличие сертифицированных СЗИ. Никаких иных форм подтверждения соответствия не предусмотрено.4. Все «железо» таких ИС обязано находится на территории РФ. Международным и фармацевтическим компаниям на территории РФ предстоит сложный этап ИТ-жизни. Собственно, сами требования:1. Настоящие Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций (далее соответственно — Требования, информационные системы) устанавливают:требования к защите информации, содержащейся в информационных системах, и программно-техническим средствам этих систем;2.
Настоящие Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций (далее соответственно — Требования, информационные системы) устанавливают:требования к защите информации, содержащейся в информационных системах, и программно-техническим средствам этих систем;2. Медицинские информационные системы медицинских организаций (далее — МИС МО) являются информационными системами, содержащими данные о пациентах, об оказываемой им медицинской помощи, о медицинской деятельности медицинских организаций и иную информацию, необходимую для автоматизации процессов оказания медицинской помощи и информационной поддержки медицинских работников.3.

Информационные системы фармацевтических организаций (далее — ИС ФК) являются информационными системами, содержащими данные о фармацевтических организациях и об осуществлении фармацевтической и иной деятельности в сфере охраны здоровья, и иную информацию, необходимую для автоматизации процессов оказания фармацевтической деятельности и информационной поддержки фармацевтических работников.4.

Государственные информационные системы в сфере здравоохранения субъектов Российской Федерации (далее — ГИС субъектов Российской Федерации) являются информационными системами, обеспечивающими сбор, хранение, обработку и предоставление информации о медицинских и фармацевтических организациях и об осуществлении медицинской, фармацевтической и иной деятельности в сфере охраны здоровья, с целью информационной поддержки процессов управления системой здравоохранения субъекта Российской Федерации.5. Функции медицинских информационных систем государственной и муниципальной систем здравоохранения могут быть реализованы с использованием государственных информационных систем субъектов Российской Федерации в сфере здравоохранения.

В случае если с использованием ГИС субъекта Российской Федерации реализованы функции МИС МО, то к такой ГИС субъекта Российской Федерации применяются требования, установленные для МИС МО.II. Требования к защите информации, содержащейся информационных системах, и программно-техническим средствам этих систем7. Информация, содержащаяся в информационной системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством Российской Федерации о персональных данных.8.

Защита информации, содержащейся в информационной системе, обеспечивается посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией информационной системы.9. Для обеспечения защиты информации в ходе создания, эксплуатации и развития информационной системы оператором информационной системы осуществляются:а) формирование требований к защите информации, содержащейся в информационной системе;б) разработка и внедрение системы (подсистемы) защиты информации информационной системы;в) применение сертифицированных в соответствии с требованиями безопасности информации средств защиты информации, в случае, когда применение указанных средств необходимо для нейтрализации актуальных угроз;г) защита информации при ее передаче по информационно-телекоммуникационным сетям;д) обеспечение защиты информации в ходе эксплуатации информационной системы.10.

Программно-технические средства информационных систем должны отвечать следующим требованиям:а) располагаются на территории Российской Федерации;б) для ГИС субъектов Российской Федерации, а также для МИС МО и информационных систем фармацевтических организаций, принадлежащих указанным государственным или муниципальным организациям (предприятиям, учреждениям), обязательно соответствие нормам постановления Правительства Российской Федерации от 16 ноября 2015 г. N 1236

«Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»

, для остальных информационных систем указанное соответствие является рекомендуемым;в) обеспечивают размещение информации на государственном языке Российской Федерации;г) имеют действующие сертификаты, выданные Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);д) обеспечивает контроль доступа к документам, протоколируя и сохраняя в составе контрольной информации сведения о предоставлении доступа и о других операциях с документами и метаданными;е) программное и аппаратное обеспечение информационной системы гарантирует соблюдение установленных нормативными правовыми актами Российской Федерации сроков хранения медицинской документации в форме электронных документов, предусматривая резервное копирование медицинской документации в форме электронных документов и метаданных, восстановление медицинской документации в форме электронных документов и метаданных из резервных копий, а также своевременное удаление документов с истекшим сроком хранения;ж) обеспечивают автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений, информации об участниках (поставщиках, пользователях) информационных систем, осуществивших указанные действия;з) обеспечивают бесперебойное ведение баз данных и защиту содержащейся в информационной системе информации от несанкционированного доступа (суммарная длительность перерывов в работе не должна превышать 4 часов в месяц, за исключением перерывов, связанных с обстоятельствами непреодолимой силы; при необходимости проведения плановых технических работ, в ходе которых доступ пользователей к информации, размещенной в информационной системе, будет невозможен, уведомление об этом должно быть размещено не менее чем за сутки до начала работ);и) обеспечивают защищенный канал связи между информационной системой и защищенной сетью передачи данных единой государственной информационной системы в сфере здравоохранения (далее — Единая система), другой информационной системой, с которой осуществляется информационное взаимодействие;к) обеспечивают возможность информационного взаимодействия информационной системы с информационными системами в сфере здравоохранения;л) обеспечивают взаимодействие с другими информационными системами путем обмена информационными сообщениям в синхронном и асинхронном режиме посредством технологии очередей режимов, посредством формирования, отправки, получения, обработки запросов и ответов, форматы которых разрабатываются операторами информационных систем в сфере здравоохранения с использованием языка описания схем данных XML Schema Definition на основе справочников и классификаторов, содержащихся в федеральном реестре нормативно-справочной информации Единой системы;м) обеспечивают включение в информационные сообщения и проверку содержащихся в информационных сообщениях электронных подписей организаций и (или) их должностных лиц, организаций, являющейся оператором информационной системы, участвующей в информационном взаимодействии, автоматически формируемых электронных подписей в интеграционных подсистемах Единой системы от имени юридического лица (индивидуального предпринимателя), выполняющего функции оператора Единой системы;н) обеспечивают разработку интерфейсов информационного взаимодействия, тестирование информационного взаимодействия с другими информационными системами;о) при обработке сведений о медицинских организациях и медицинских работниках обеспечивают проверку достоверности и актуальности сведений посредством взаимодействия с Единой системой;п) обеспечивают получение и передачу сведений, предусмотренных Положением о Единой системе в части сведений поставщиком и пользователем которых является оператор информационной системы;р) обеспечивают возможность ведения медицинской документации в электронном виде в соответствии с порядком организации системы документооборота в сфере охраны здоровья в электронном виде, утверждаемым приказом федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения.

Более того, 13.02.2019 вступило в силу ПП № 555 от 05.05.2018 «О единой государственной информационной системе в сфере здравоохранения». И там все то же самое — никакого упоминания о КИИ.IX. Защита информации, содержащейся в единой системе56. Информация, содержащаяся в единой системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также в соответствии с законодательством Российской Федерации о персональных данных.57.
Информация, содержащаяся в единой системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также в соответствии с законодательством Российской Федерации о персональных данных.57. Защита информации, содержащейся в единой системе, обеспечивается посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией единой системы.58.

Для обеспечения защиты информации в ходе создания, эксплуатации и развития единой системы осуществляются:а) формирование требований к защите информации, содержащейся в единой системе;б) реализация функции защиты информации в составе интеграционных подсистем единой системы;в) применение сертифицированных средств защиты информации, а также аттестация единой системы на соответствие требованиям к защите информации;г) защита информации при ее передаче по информационно-телекоммуникационным сетям;д) обеспечение защиты информации в ходе эксплуатации единой системы.59. В целях защиты информации, содержащейся в единой системе, оператор единой системы обеспечивает:а) предотвращение несанкционированного доступа к информации, содержащейся в единой системе, и (или) передачи такой информации лицам, не имеющим права на доступ к этой информации;б) незамедлительное обнаружение фактов несанкционированного доступа к информации, содержащейся в единой системе;в) недопущение несанкционированного воздействия, нарушающего функционирование входящих в состав единой системы технических и программных средств обработки информации;г) возможность незамедлительного выявления фактов модификации, уничтожения или блокирования информации, содержащейся в единой системе, вследствие несанкционированного доступа и восстановления такой информации;д) обеспечение осуществления непрерывного контроля за уровнем защищенности информации, содержащейся в единой системе.* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.** Все новости блога на публичном Telegram-канале ***

Информационная безопасность в медицине: как организовать хранение данных пациентов

Медицинские государственные структуры и коммерческие организации ежедневно имеют доступ к большому объему персональных данных, включая дату рождения, имя и фамилию пациентов и персонала, семейное положение.

Особенно остро стоит вопрос безопасности перед медицинскими учреждениями, где собираются и хранятся такие данные, как диагнозы, результаты исследований, истории болезней. Внедрение новых технологий в области здравоохранения повышает вероятность утечки и кражи информации.

Как защитить данные, перспективы информационной безопасности и методы ее усиления будут рассмотрены в этой статье. Содержание статьи: Многие данные в медицинских организациях попадают в категорию врачебной тайны. В их числе личные сведения о сотрудниках и клиентах.

Разглашение информации о состоянии здоровья может вызвать последствия.

Хакеры используют украденные данные в мошеннических целях, продают на черном рынке или шантажируют организации, которые допустили утечку. Специфика работы с медицинской информацией определяет объем работ в части обеспечения информационной безопасности:

  1. регламент взаимодействия медицинских сотрудников, пациентов и доверенных лиц не установлен.
  2. деление информации на персональные и статистические данные, сведения о ходе лечения;
  3. разные части медицинской информации обрабатываются разными специалистами, включая лаборантов, медицинских сестер, врачей, регистраторов;
  4. обработка документов должна выполняться оперативно;
  5. все сведения находятся в полном распоряжении пациента;

Количество инструментов, позволяющих отслеживать данные о состоянии пациентов, резко увеличилось за последние несколько лет. Это стало возможным благодаря развитию облачных технологий, мобильных устройств и возможности хранения массивов данных онлайн.

Существенно повысили качество обслуживания пациентов и мобильные медицинские технологии.

Пользователи получили возможность узнавать больше информации о своем организме, и, соответственно, лучше заботиться о здоровье.

При этом затраты со стороны медицинских организаций сокращаются.

Но в медучреждениях должны понимать, как и где хранится информация, генерируемая гаджетами. Развитие перечисленных технологий стимулирует также обмен медицинскими данными для проведения клинических исследований. Пациенты могут дать согласие на отправку информации для последующих анализов, врачи – обмениваться данными, например, генетическими исследованиями.
Пациенты могут дать согласие на отправку информации для последующих анализов, врачи – обмениваться данными, например, генетическими исследованиями.

Но отрасли здравоохранении еще предстоит заслужить доверие пациентов. Врачи констатируют необходимость интеграции медицинского оборудования в единую компьютеризированную сеть.

Существует несколько запатентованных систем от разных поставщиков, но они не могут взаимодействовать друг с другом, а это создает сложности в уходе за пациентами. Если медицинские приборы не обмениваются измерениями, персонал медучреждения не может оценить состояние пациента комплексно, что создает значительные неудобства.

Интеграция и поддержка локальной сети дадут возможность скоординировать работу медицинских приборов и информационных систем, в особенности, при взаимодействии с электронной медицинской карточкой.

Хищение медицинских данных чревато следующими последствиями:

  1. получив доступ к данным пациента, мошенники могут злоупотреблять рецептами на лекарства, лишив этой возможности владельца карты. Рецепты, как правило, лимитированные;
  2. медицинские карты используются на черном рынке для получения медицинской помощи незастрахованными лицами;
  3. мошенники могут исчерпать страховой лимит, и законный владелец лишится возможности получать медицинскую помощь в самое неподходящее время. Большинство страховых планов имеют ограничения на отдельные виды услуг. Например, страховая компания откажется оплачивать два оперативных вмешательства по удалению аппендицита;
  4. в карту могут быть внесены сведения вора, в результате пациент рискует получить помощь, основанную на чужой истории болезни, группе крови, непереносимости и аллергической реакции;
  5. если с устранением массовых кибератак на банковские карты проблемы не возникают, то защита от фишинговых атак потребует больших усилий. Кража электронной медицинской карты может и вовсе остаться незамеченной. И если этот факт обнаруживается, то, как правило, в ситуациях, когда последствия угрожают жизни.

Существует вероятность возникновения следующих нарушений информационной безопасности:

  1. утрата сведений, вызванная разрушением носителя информации или стиранием данных;
  2. некорректное функционирование информационной системы вследствие несанкционированного изменения модулей.
  3. внесение изменений при прямом доступе к базе данных или через интерфейс системы;
  4. получение неправомерного доступа к информации, другими словами, нарушение конфиденциальности;
  5. отказ функционала, связанный с получением доступа к информации;
  6. получение доступа к базе данных – полное или частичное;

Построение системы защиты может выполняться в несколько этапов:

  1. моделируются угрозы безопасности;
  2. разрабатывается организационно-распорядительная документация, которая регламентирует процессы обработки и защиты сведений;
  3. проводится аттестация информационных систем сведений, согласно требованиям безопасности.
  4. собираются сведения о существующих информационных системах персональных сведений;
  5. разрабатываются технические задания;
  6. поставляются, устанавливаются и настраиваются средства защиты информации;
  7. проектируется система защиты информации;

К объектам защиты медицинской информационной системы относят:

  1. сведения в базе данных;
  2. обработка информации в медучреждении – сбор, хранение, передача;
  3. средства обеспечения функционирования медицинской информационной системы;
  4. целевые данные администратора и начальника;
  5. производительность файлового сервера.
  6. резервные и архивные копии сервера;

С целью защиты данных пациента применяются несколько программных компонентов и механизмов. Для предотвращения несанкционированного доступа развертываются средства авторизации, внедряются системы обнаружения и предотвращения вторжений, а также утечек информации. Может устанавливаться антивирусное программное обеспечение.

Существует успешная практика использования файерволов.

К криптографическим средствам защиты относят алгоритмы шифрования данных и внедрение электронной цифровой подписи. Системы аутентификации предполагают внедрение защиты с паролем, подпись сертификатами и открытие доступа по биометрическим данным. Инструментальные средства анализа предполагают внедрение программного обеспечения для проведения мониторинга.

К техническим относят комплексное внедрение технических средств защиты. Система бесперебойного питания предполагает установку, обслуживание источников бесперебойного питания, установку генераторов напряжения и резервирование нагрузки. С целью предотвращения взлома и краж используются специальные средства, включая электронные ключи и смарт-карты.

Эти технологии позволяют повысить уровень защиты информационной системы на этапе аутентификации. Есть и другие способы обеспечения безопасности, которые не относятся к медицинской информационной системе напрямую.

Такие меры предполагают выполнение персоналом некоторых регламентов по работе с системой:

  1. обеспечение правильной работы с документами и документированными сведениями;
  2. организация работы с сотрудниками в части доступа к информации;
  3. организация охраны помещения, работы с документацией, сотрудниками. Использование технических средств и информационно-аналитической деятельности с целью выявления угроз – внутренних и внешних;
  4. исключение проникновения на территорию и в здание злоумышленников;
  5. задействование технических средств по сбору, накоплению, обработке и хранению конфиденциальных данных;
  6. организация работы по анализу угроз конфиденциальных сведений – внутренних и внешних;
  7. организация работы по выполнению контроля над работой сотрудников с информацией.

Все эти пункты можно автоматизировать с помощью решения . Также внедряются и специализированные средства контроля доступа в помещение.

Это могут быть:

  1. концентраторы и контроллеры;
  2. кардридеры, считывающие информацию;
  3. исполнительные устройства, включая кабины, турникеты, шлагбаумы;
  4. средства идентификации, включая брелоки, карты и биометрию;
  5. индивидуальное программное обеспечение.
  6. панели для введения кода с помощью клавиатуры;

Безопасность данных должны быть реализована на всех уровнях работы медицинской информационной системы:

  1. информация о медучреждении;
  2. сведения о пациентах;
  3. сведения о системе здравоохранения, как в государственных, так и в частных организациях.
  4. данные о персонале;

Привлекательность медицинских центров для киберпреступников объясняется тем, что их информационные системы содержат различную конфиденциальную информацию, включая личные данные пациентов, номера банковских карт (кредитных, дебетовых), медицинские сведения. Если система безопасности функционирует правильно, можно говорить о выполнении в полной мере всех ее функций. Медицинские учреждения выступают операторами персональных данных, а это означает, что обеспечение безопасности входит в зону их ответственности.

Процесс перехода от бумажных носителей к электронным показывает, что далеко не все организации могут уделять должное внимание информационной безопасности, так как требуется увеличение расходов.

Денежные средства должны быть направлены на установку и обслуживание систем защиты информации, обучение персонала, наем квалифицированных специалистов.

Усовершенствование Единой государственной информационной системы в сфере здравоохранения должно решить эту проблему. Она состоит из региональных информационных систем управления здравоохранением. В рамках программы проводится обеспечение медицинских организаций техникой, создание норм электронного документооборота между медицинскими организациями.

Ее положения регламентируют, какая часть данных сервиса может быть предоставлена и кому, что позволит сократить частоту утечек. Готовое решение для интеграции частной или государственной клиники к сервисам ЕГИСЗ

  1. Автоматический обмен документов с подсистемами РЭМД и ИЭМК;
  2. Соответствие законодательству № 242-ФЗ;
  3. Доступ к записи в клинику через портал госуслуг;
  4. Автоматизированное внесение данных в Федеральный регистр COVID-19.

Понравилась статья?

Поделитесь с друзьями! Заказать помощь специалиста 1С Заказать звонок

Информационная безопасность в здравоохранении

Клиники, медицинские центры, другие учреждения здравоохранения сталкиваются с большим количеством персональных данных как сотрудников, так и клиентов. Многие документы попадают в категорию врачебной тайны.

Поэтому информационная безопасность в медицине переходит на новый уровень. Медучреждения переходят на электронный документооборот, автоматизируется ведение электронного учета или медицинских карт пациентов. Нельзя сказать, что вопросом оптимизации регистратур или безопасности баз данных заинтересовались в системе здравоохранения только сейчас.

Впервые хранить документацию, используя компьютер, предложил Николай Амосов (знаменитый советский хирург).

С развитием информационных технологий ускорился и переход медучреждений на новый уровень обработки и хранения персональных данных. Без информационной трансформации повысить эффективность оказания медицинских услуг невозможно. Как и любая отрасль, здравоохранение имеет свои особенности.
В сфере информационного обеспечения эти особенности проявляются в следующем:

  • Низкий уровень автоматизации информационного обеспечения государственных медучреждений. В большинстве случаев оборудование, которым располагают указанные учреждения, несовременное и разнородное.
  • Необходимость обеспечения доступа к системам информации. Это позволит проконтролировать эксплуатацию систем диагностики, клинического оснащения, закупку и расход медикаментов, соблюдение протоколов лечения.
  • Наличие четких требований к информационной безопасности баз данных. Это обусловлено тем, что обрабатываемая данные принадлежат к первому классу информационных систем. Сведения о состоянии здоровья – одна из самых личных категорий информации. В этот класс входят данные, разглашение которых может привести к чувствительным негативным результатам для лица и безопасность которых не была обеспечена должным образом.

Обеспечение безопасности медицинских сведений регламентировано законодательно на федеральном уровне.

Концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ) регламентирует основные положения информационного обеспечения учреждений здравоохранения. ЕГИСЗ предусматривает создание региональных проектов модернизации электронных баз данных, нормы электронного документооборота между медучреждениями, соответствие стандартам медицинских информационных систем, наличие всероссийского центра обработки информации, обеспечение компьютерной техникой.

ЕГИСЗ предусматривает создание региональных проектов модернизации электронных баз данных, нормы электронного документооборота между медучреждениями, соответствие стандартам медицинских информационных систем, наличие всероссийского центра обработки информации, обеспечение компьютерной техникой. Для защиты сведений в системе здравоохранения применяются такие методы:

  1. юридические;
  2. технические (программное обеспечение).
  3. организационно-управленческие;

Юридические механизмы устанавливают ответственность за нарушение правил использования данных, сдерживая возможных нарушителей.

Организационно-управленческие методы прописывают рамки, условия работы ресурсов, функции сотрудников, а также систему взаимоотношений между абонентами и администратором.

Защитные механизмы обеспечены техническими средствами. Они блокируют свободный доступ недобросовестных пользователей к информации, «опознают» абонентов, устанавливают ограничения на доступ и редактирование сведений, обеспечивают криптографическую охрану баз данных.

Защиту от утечек информации, а также адресную блокировку доступа к закрытым сведениям обеспечит DLP-система . Способы автоматизации и обеспечения информационной безопасности в медицинских организациях зависят от размера организации, объема обрабатываемых сведений. Крупные учреждения имеют собственные центры обработки персональной информации.

Они ответственны за обмен сведениями, синхронизацию систем электронной корреспонденции. В небольшой организации достаточно возможностей региональных центров сбора, обработки сведений.

Требования к технической оснащенности и компьютерному обеспечению таких медучреждений значительно ниже. Информационное сопровождение необходимо для реализации управленческой и технологической деятельности. Для облегчения процесса автоматизации, обеспечения информационной защиты требуются разработка и внедрение типовых комплексных программ по защите конфиденциальных сведений.

Данные, обрабатываемые в медучреждениях, – это сведения, относящиеся к врачебной тайне. Их защита обеспечена на законодательном уровне. Поэтому защита МИС (медицинские информационные системы) представляет собой комплекс мероприятий, включающий:

  1. предоставление комплекса сведений;
  2. защиту от несанкционированного доступа к системе или данным.

Если указанные направления не будут защищены должным образом, ответственность за распространение закрытых сведений возлагается на руководство медучреждения.

Министерством охраны здоровья РФ разработаны рекомендации по оборудованию организаций здравоохранения специальным компьютерным приспособлением – аппаратным тонким клиентом. Это приспособление, работа которого обеспечивается отдельной операционной системой, направленной на выполнение одного задания – формирование связи с сервисом терминала для работы абонента.

Информационная структура медучреждения предполагает размещение базовых приложений на сервере, связь с которым обеспечивается с помощью аппаратных клиентов на рабочем месте персонала. Тонкий клиент имеет ряд плюсов по сравнению с обычным компьютером:

  1. усиление безопасности сберегаемых данных;
  2. увеличение времени эксплуатации;
  3. компактность и практичность;
  4. подконтрольность сети, возможность контролировать ее объем;
  5. отсутствие единого хранилища письменной документации;
  6. отсутствие наличия высокоскоростной связи.
  7. простота обновления и работы;
  8. легкость установки;
  9. доступность применения каждому сотруднику;

Техническое обеспечение реализации концепции информационной защиты включает в себя:

  1. обеспечение безопасности информационных баз данных.
  2. отсутствие дубликата зафиксированных данных на бумаге;
  3. заверка электронных документов цифровой подписью;
  4. юридически обеспеченное электронное документоведение;

На рынке информационных систем уже представлены комплекты оборудования, разработанные в соответствии с требованиями Министерства здравоохранения, представляющие собой набор сервера-терминала и аппаратного клиента с включенными модулями защищенного ввода и определения абонента. Включенный аппаратный клиент обеспечивает безопасный доступ к образу всей базы данных.

Аутентификация абонента производится с помощью ввода личного ключа и секретного кода. Загрузка системы производится исключительно после проверки соответствия введенных паролей доступа. Терминал производит разграничение доступа отдельных абонентов, обеспечивая аппаратную защиту сведений в медицинской сфере.

Администратор обеспечивает опознавание персональных кодов доступа. Это позволяет терминальному ресурсу установить связь с сервером и «опознать» абонента. Начать работу с удаленным сервером через тонкий терминал абонент может после ввода персонального ключа и кода доступа.

Таким образом, система идентифицирует клиента и гарантирует защиту информационной базы. Внедрение технологии «опознавания» абонента предполагает наличие руководящего звена (администратора), наделенного полномочиями свободного доступа к размещенным сведениям, а также установки ограничений для других абонентов системы. Заверить электронный документ подписью позволяет разработанная программа, обеспечивающая ее проверку и оформление.

Работает программа в онлайн-режиме. Завершенное программное обеспечение аппаратного клиента на базе отдельной операционной системе запускается только в ограниченном режиме «для чтения». Операционная система, обеспечивающая заверение документов электронной подписью, состоит из:

  1. хранилища подписей;
  2. драйверов, отвечающих за функционирование локальных терминалов.
  3. отдельного браузера, обеспечивающего предпросмотр и заверение документов в системе медицины;

Важно!

При установке программного обеспечения компания-установщик должна подтвердить легализацию своих разработок сертификатом ФСТЭК или ФСБ Российской Федерации.

Программа независимых гарантий предусматривает образование системы персонифицированного учета оказания медицинских услуг. Подобная система способна обеспечить регистрацию:

  • закупок медикаментов.
  • медперсонала;
  • оказанных услуг;

Таким образом, будет облегчено управление учреждением здравоохранения.

С помощью подобной системы удается решить вопросы:

  1. формирования единой базы лечебных организаций с указанием видов оказываемых услуг, персонала, техоборудования, результативности работы;
  2. образования общего списка клиентов;
  3. формирования реестра важных социальных неинфекционных болезней с учетом количества обратившихся и территории их проживания. В данном реестре будут отображены динамические факторы показателей: количество заболевших, риски, смертность.
  4. формирования и введения базовой системы надзора над качеством оказания медицинских услуг в соответствии с государственными и международными стандартами (медицинскими и экономическими);

Формируют исходную информацию организации здравоохранения на местах.

Региональное управление осуществляется специально созданными информационными центрами.

Для этого на администрацию лечебного учреждения возлагаются функции:

  1. расчета стоимости закупок необходимых медикаментов;
  2. мониторинга оказания отдельных видов медицинской помощи населению;
  3. прогнозирования затрат на обеспечение медицинского обслуживания граждан по страховке.
  4. оценки кадрового обеспечения отдельных организаций;
  5. анализа использования финансовых ресурсов медучреждениями;

Программы автоматизации ИС в здравоохранении обеспечивают мониторинг качества и уровня оказания помощи, соблюдения санитарно-гигиенических норм, оценивание результатов работы местных медицинских органов управления и отдельных лечебных организаций.