Поиск по базе документов:

 

Утверждаю

Заместитель министра

Т.И.СТУКОЛОВА

17 апреля 2003 г.

 

Согласовано

Начальник Управления

научно-исследовательских

медицинских учреждений

С.Б.ТКАЧЕНКО

8 апреля 2003 г.

 

Руководитель Департамента

экономического развития

здравоохранения,

управления финансами и

материальными ресурсами

М.Е.ПУТИН

4 апреля 2003 г.

 

Руководитель Департамента

организации и развития

медицинской помощи

населению

Р.А.ХАЛЬФИН

8 апреля 2003 г.

 

КОНФИДЕНЦИАЛЬНОСТЬ И ЗАЩИТА ИНФОРМАЦИИ

ПРИ ТЕЛЕМЕДИЦИНСКИХ КОНСУЛЬТАЦИЯХ

 

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

N 2003/46

 

Настоящие методические рекомендации определяют основные направления обеспечения конфиденциальности и информационной безопасности при проведении телемедицинских консультаций на основе существующей законодательной базы. Это касается любых вариантов дистанционного консультирования: видеоконференций закрытого типа, консультаций по электронной почте, размещения медицинской документации на Web-серверах.

Методические рекомендации предназначены для руководителей органов здравоохранения и лечебных учреждений, врачей и технического персонала, обеспечивающего проведение телеконсультаций.

Методические рекомендации сопровождены словарем специальных терминов.

Методические рекомендации подготовлены коллективом авторов:

Кобринский Б.А., Бодров В.Н. (МНИИ педиатрии и детской хирургии Минздрава России)

Крейнес М.Г., Большаков А.Е. (Московская медицинская академия им. И.М.Сеченова)

Баранова М.Л. (Государственный медицинский центр Минздрава России)

Орлов И.О. (Учебно-исследовательский центр космической биомедицины)

Тимин Е.Н. (НИИ хирургии им. А.В.Вишневского РАМН)

Флеров Е.В. (РНЦ хирургии РАМН)

Симоненко М.А. (ФГУП "Медицина для Вас")

Афонин А.Ю. (Департамент экономического развития здравоохранения, управления финансами и материальными ресурсами Минздрава России)

Натензон М.Я. (ООО ТАНАтмс)

Тарнопольский В.И. (ООО ТАНАкмс)

 

ВВЕДЕНИЕ

 

Телемедицинские технологии (ТМТ) находят все более широкое применение в практике клинической медицины при диагностике и лечении сложных случаев заболеваний. Однако в настоящее время в России отсутствуют официальные документы, регламентирующие конфиденциальность при анализе вопросов состояния здоровья пациента с использованием телемедицинских технологий. Нет четких представлений о необходимости получения согласия больного на телемедицинскую консультацию (ТМК). До настоящего времени не сформулированы единые требования к визированию медицинских документов, используемых при телеконсультациях. Эти вопросы по разному решаются в разных странах и в различных телемедицинских центрах (ТМЦ) России. Но главное, что организация телеконсультаций, т.е. переход к дистанционному оказанию медицинской помощи с использованием технических средств, не полностью отвечает понятию врачебной тайны, которое дано в "Основах законодательства Российской Федерации об охране здоровья граждан", действующих с 1993 года. В статье 61 "Основ" указывается, что "информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну", а в статье 31, что "информация, содержащаяся в медицинских документах гражданина, составляет врачебную тайну...". Именно поэтому в системе государственного здравоохранения принято, так называемое, закрытое ведение и хранение медицинской документации. Все это определено для медицинского персонала, но требования к обеспечению сохранности медицинских данных пациентов и ответственность инженерно-технического персонала, обеспечивающего процесс телеконсультирования, за нарушение их сохранности и за разглашение сведений, которые им становятся известны в процессе организации и проведения телеконсультации, не сформулированы.

В целом перед участниками телемедицинских консультаций стоит проблема защиты информации, для решения которой необходимо выполнение набора универсальных процедур, независимых от используемых каналов связи, программных сред и продуктов.

В настоящих методических рекомендациях систематизированы важнейшие составляющие процедуры обеспечения информационной безопасности в ходе телемедицинской консультации. Наряду с организационно-методическими подходами к решению проблемы конфиденциальности, сформулированы общие принципы технического обеспечения защиты информации и приведены примеры используемых для этого аппаратных и программных средств, сертифицированных ФАПСИ РФ. Определены требования к документированию информации при использовании телекоммуникационных и информационных технологий, соответствующие нормам законодательства Российской Федерации, директивных и нормативных документов Минздрава России.

На основе настоящих методических рекомендаций руководители ЛПУ и (или) органов здравоохранения соответствующего уровня (по подчиненности телемедицинских центров) могут принимать при телемедицинских консультациях обоснованные административные решения по обеспечению конфиденциальности данных о состоянии здоровья пациентов и иной медицинской информации служебного характера, решать вопросы правового характера ТМК (до их законодательного оформления).

Решения технического характера для защиты информации от несанкционированного доступа также могут основываться на сведениях, изложенных в настоящих методических рекомендациях и реализовываться в соответствии с конкретной ситуацией организации телеконсультаций в регионе и (или) ЛПУ.

При использовании телемедицинских технологий следует учитывать требования законодательства Российской Федерации в области связи и информации, в частности, федеральных законов: "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", "О связи".

 

1. ОБЩИЕ ТРЕБОВАНИЯ К ЗАЩИТЕ МЕДИЦИНСКОЙ ИНФОРМАЦИИ

ПРИ ТЕЛЕМЕДИЦИНСКИХ КОНСУЛЬТАЦИЯХ

 

1.1. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ

 

Под телемедицинской консультацией понимается медицинская консультация, осуществляемая на основании данных, переданных по каналам связи (включая режим видеоконференции).

Под телемедицинской видеоконференцией понимается интерактивный аудиовизуальный обмен медицинскими данными и мнениями между консультантом и клиентом.

 

1.2. ОСНОВНЫЕ УСЛОВИЯ ЗАЩИТЫ МЕДИЦИНСКОЙ ИНФОРМАЦИИ

В ХОДЕ ТЕЛЕМЕДИЦИНСКИХ КОНСУЛЬТАЦИЙ

 

Основными условиями защиты медицинской информации при проведении ТМК является обеспечение ее целостности, аутентичности, неизменности, сохранности и доступности. Обязательным требованием, с точки зрения законодательства, является обеспечение конфиденциальности персональной информации, в том числе, клинической информации о больном, составляющей предмет врачебной тайны.

Под целостностью медицинской информации в ходе ТМК понимается отсутствие ее потерь в процессе подготовки, преобразования, передачи, приема, обработки и предоставления информации. Это не означает, что информация не может разделяться на части, передаваемые или преобразуемые по отдельности. Целостность информации должна обеспечиваться протоколами передачи и преобразования данных и действиями всех участников ТМК.

Под аутентичностью медицинской информации в ходе ТМК понимается полное совпадение передаваемой и получаемой информации. В частности, аутентичность информации для аудио- и видеоинформации предполагает, что изображение и звук практически одинаковы на передающей и принимающей сторонах. Под аутентификацией (подлинностью) участников телеконсультации понимается взаимная доказуемая идентификация партнеров связи.

Под неизменностью медицинской информации понимается отсутствие искажений (преднамеренных или непреднамеренных) информации участниками ТМК или третьими лицами в ходе ТМК. Неизменность информации должна обеспечиваться протоколами передачи и преобразования данных и мерами по защите информации от несанкционированного доступа.

Под сохранностью медицинской информации понимается необходимость документирования (протоколирования) хода и результатов ТМК - всего комплекса представленных медицинских материалов, их обсуждения (устного при проведении видеоконференции или письменного при переписке по электронной почте) и заключения консультанта, на соответствующих носителях, включая запись видеоконсультаций, представляющую собой ее синхронную копию.

Под доступностью медицинской информации при использовании ТМТ понимается возможность для участников ТМК реально и своевременно получить доступ к медицинской информации, используемой в ходе телеконсультации, что может быть обеспечено только согласованными действиями всех участников ТМК.

Под конфиденциальностью понимается ограничение доступа к совокупности данных, являющихся предметом телемедицинской консультации, включая ее результаты.

 

2. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В ХОДЕ ТЕЛЕМЕДИЦИНСКИХ КОНСУЛЬТАЦИЙ

(ФОРМУЛА МЕТОДА)

 

Информационная безопасность в ходе ТМК должна базироваться на использовании комплекса организационных и технических средств (регламентирующие документы, обучение персонала, программно-аппаратные решения, включая интероперабельность телемедицинских приложений), обеспечивающих конфиденциальность телеконсультации и защиту персонифицированной медицинской информации от несанкционированного доступа на различных этапах подготовки, обмена данными, сеанса дистанционного консультирования, промежуточного и последующего хранения документации с учетом ответственности (правовые аспекты) лиц, принимавших участие в проведении и поддержке телемедицинской консультации.

 

3. ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ И ТЕХНИЧЕСКИЕ РЕШЕНИЯ

ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

В обобщенном виде меры по защите медицинской информации при телемедицинских консультациях сводятся к трем видам: организационно-методические, технические и правовые.

Обеспечение сохранности информации (от подачи заявки до выдачи заключения) предусматривает: санкционированный доступ, аутентификацию и авторизацию пользователей (консультируемых и консультантов, технического персонала ТМЦ) при работе с телемедицинскими системами (ТМС) и базами данных (БД) консультированных больных (текущими и архивными). Авторизация доступа к ТМС и БД должна обеспечиваться программными и/или аппаратными средствами идентификации (например, eToken).

Принципиально важно предусматривать ответственность участников телемедицинской консультации за качество передаваемой/принимаемой информации, ее последующее хранение, включая результаты обсуждения. Заявки на консультацию должны сопровождаться текстовыми документами (подписанными медицинскими работниками), необходимыми медицинскими изображениями (рентгенограммы, ЭКГ и пр.) и фотографиями больного. Заключение консультанта должно включать диагноз и рекомендации с обязательным указанием должности и фамилии консультанта. После издания соответствующих распоряжений в системе здравоохранения будет определен порядок перехода к использованию электронной цифровой подписи (ЭЦП), для чего можно использовать только ключевые центры, сертифицированные ФАПСИ (в соответствии с требованиями Административного Кодекса РФ). При организации телеконсультаций путем размещения деперсонифицированной информации о больном и поставленных лечащим врачом вопросов диагностики/лечения на Web-странице ("Интернет-медицина", практикуемая во многих странах), необходима как защита данных от искажения при несанкционированном доступе, так и аутентификация консультанта. Следует также предусматривать юридически обоснованную фиксацию осуществляемых событий и действий, без чего консультации через Интернет могут считаться юридически не состоявшимися.

Обеспечение безопасности информации определяется законом РФ от 05.03.92 г. N 2446-1 "О безопасности". Защита персонифицированных данных закрытого типа в открытых сетях является обязательным требованием законодательства. Наиболее эффективным средством является использование программно-технических средств шифрования. До решения вопроса на таком уровне следует временно заменять при телеконсультации ФИО и диагнозы больных идентификаторами, формируемыми автоматически. При этом фамилия должна быть заменена идентификатором не только в текстовой части, но и в визуальных приложениях, так как некоторые компьютеризированные диагностические аппараты выводят фамилию пациента и другие паспортные данные на лист с распечаткой графических данных. Одновременно, в целях защиты от случайного или преднамеренного присоединения выписки к данным другого пациента, необходимо обеспечивать подпись лечащего врача и технического работника ТМЦ, передающего информацию, на всех медицинских документах, прилагаемых к заявке на ТМК.

Комплексная защита информации при использовании для ТМК открытых каналов связи, включая Интернет, должна предусматривать:

1) идентификацию и проверку подлинности (аутентификация) пользователей базы данных;

2) защиту информации при передаче по каналам связи - управление механизмом туннелирования или создание механизма Виртуальных Частных сетей (Virtual Private Network - VPN, см. приложение N 3), которые включают шифрование передаваемых данных в защищенной сети;

3) защиту данных на рабочем месте врача-консультанта, включая, при необходимости, защиту локальных вычислительных сетей;

4) управление целостностью данных (защита от несанкционированного изменения информации);

5) применение обеими сторонами технологии электронной цифровой подписи (закон РФ от 10.01.02 г. N 1-ФЗ) и других средств криптозащиты информации; сертификация шифровальных средств, предназначенных для криптографической защиты информации является, в соответствие с действующим законодательством, исключительной прерогативой ФАПСИ. В целях обеспечения совместимости по шифрованию/дешифрованию данных возможно использование средства типа "ViPNet", "ПК (АПК) Шип" и "КриптоПро CSP". Для протокола Н.320 (при работе по каналам с гарантированной полосой пропускания, в частности, по ISDN-линиям) возможно шифрование ФИО и диагноза с использованием метода полуоткрытых асинхронных ключей и им подобных методов. При проведении отсроченных телемедицинских консультаций с использованием электронной почты, для обеспечения конфиденциальности, проверки авторства и целостности файлов может использоваться сертифицированное ФАПСИ средство криптографической защиты Crypton ArcMail, включающее функции шифрования, ЭЦП и архивирования;

6) организация защищенной работы по открытым Интернет-каналам предполагает использование стандартных сетевых предложений.

Защита от несанкционированного доступа и шифрование данных (криптография) определяется системой государственных стандартов:

ГОСТ 3 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";

ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хеширования";

ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи";

ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования".

Обеспечение безопасности во внутренних сетях (защита локальной сети или автономного компьютера, которые функционируют в рамках телемедицинских сетей), предполагает комплекс организационно-технических мероприятий для защиты от проникновения как извне, так и изнутри данной сети (защитные экраны, программные средства, предназначенных для выявления попыток проникновения вторжений в сеть путем регистрации некорректной или аномальной деятельности). При решении вопросов обеспечения вирусной безопасности следует ориентироваться на ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство".

Протоколирование результатов консультации предусматривает запись направленных для ТМК и/или представленных в процессе видеоконсультации медицинских данных, материалов их обсуждения и заключения, на соответствующих носителях. Запись консультации, проводимой в режиме реального времени, должна осуществляться на видеомагнитофон с помощью видеоплаты video-in-out с видеовходом-выходом для получения копии изображения экрана дисплея или, при отсутствии такой платы, на видеокамеру. Переписка по электронной почте между лечащим врачом и консультантом (и координатором ТМЦ) также подлежит сохранению вместе с медицинскими данными пациента. Протоколы консультаций необходимо хранить как в ТМЦ, обеспечивающем консультацию, так и в ТМЦ ЛПУ, обратившегося за консультацией. В этом случае, при возникновении разногласий, вопрос может быть однозначно решен путем сопоставления имеющихся материалов на больного и протоколов собственно телеконсультации. При проведении ТМК в режиме off-line по электронной почте поступившие материалы должны сохраняться не только на компьютере, но и в распечатанном виде на бумажных носителях. Видеокассеты с записями консультаций и электронные письма хранятся в течение 3-х месяцев, после чего видеокассеты подлежат перезаписи на носители долговременного хранения (CDR - диски с однократной записью). Сроки хранения архивного материла должны соответствовать срокам, указанным в Приложении к приказу Минздрава СССР от 4 октября 1980 г., N 1030.

Требования к техническому персоналу ТМЦ, обеспечивающему проведение телеконсультации, в отношении ответственности за сохранность медицинских данных и за разглашение сведений, с которыми инженерно-технический персонал знакомится в процессе проведения телеконсультации (как при видеоконсультации, так и при получении и передаче данных по электронной почте), должны быть изложены в специальных инструкциях, разработанных администрацией медицинского учреждения или органа здравоохранения, и включены в должностные инструкции персонала. В эти материалы должны войти определение ответственности технического персонала, обеспечивающего проведение телемедицинской консультации (включая ее подготовку и последующее хранение данных), за разглашение данных или их некорректную защиту от несанкционированного доступа, ограничение круга лиц, допущенных к персонифицированной медицинской информации и четкая регламентация их функций.

Перечень кодов и лиц с правом доступа должен быть утвержден руководителем медицинского учреждения/органа здравоохранения. Должны быть определены условия доступа к архивным данным по запросу правомочных лиц (представители органов управления здравоохранением, юстиции, страховых компаний, по определенной схеме научные сотрудники и др.). Четкое выполнение этих требований будет способствовать уменьшению вероятности несанкционированного распространения информации.

Обязанности сотрудников, имеющих отношение к организации, проведению и поддержке телемедицинских консультаций должны быть отражены в документах, подтверждающих информированность об ответственности за сохранение тайны телеконсультаций (типа "Уведомления о неразглашении врачебной тайны"). Основанием для этого может служить закон "Об информации, информатизации и защите информации" N 24-ФЗ, принятый Государственной Думой 25.01.95 и подписанный Президентом РФ 20.02.95, статья 11 которого посвящена информации о гражданах: "Персональные данные относятся к категории конфиденциальной информации... Юридические и физические лица, в соответствии со своими полномочиями имеющие доступ к такой информации, несут ответственность в соответствии с законодательством Российской Федерации". Закон предусматривает установление авторизованного доступа к медицинским базам данных, т.е. для каждого пользователя системы должен быть установлен допустимый круг функций и уровень доступа.

Анализ причин нарушения информационной безопасности дает возможность определить важнейшие мероприятия по обеспечению целостности, аутентичности, сохранности и конфиденциальности медицинской информации в ходе ТМК, которыми являются:

- регламентация работы ТМЦ;

- регламентация проведения ТМК;

- обучение персонала;

- использование стандартных и проблемноориентированных аппаратных средств и программного обеспечения, удовлетворяющих комплексу требований по защите информации;

- применение программно-технических средств защиты информации от несанкционированного доступа.

 

3.1. РЕГЛАМЕНТ РАБОТЫ ТМЦ И РЕГЛАМЕНТАЦИЯ ПРОВЕДЕНИЯ ТМК

 

Регламентирующие документы обеспечивают согласованность работы персонала, уменьшают число внештатных ситуаций, снижают вероятность ошибочных действий.

 

3.1.1. РЕГЛАМЕНТ РАБОТЫ ТМЦ

 

Регламент работы ТМЦ, наряду с различными вопросами, определяющими порядок проведения ТМК, должен включать положения, обеспечивающие защиту медицинской информации от несанкционированного доступа. К числу таких документов следует отнести:

- должностные инструкции персонала ТМЦ;

- права доступа к аппаратно-программным средствам ТМЦ;

- процедуры определения и разграничения уровней доступа пользователей;

- процедуру введения и удаления пользователей телемедицинской системы;

- процедуру выдачи пароля;

- поименный перечень ответственные за работу оборудования ТМЦ;

- перечень профилактических мероприятий.

Документы, регламентирующие работу с оборудованием, должны определять:

- круг лиц, имеющих доступ к оборудованию;

- распределение ответственности за работу с оборудованием в процессе ТМК;

- перечень лиц, оповещаемых в случае ненормативной работы оборудования.

Документы, регламентирующие установку и обновление программного и аппаратного обеспечения ТМК, должны содержать:

- перечень необходимых для установки программных продуктов и специального оборудования;

- правила установки и обновления программного и аппаратного обеспечения;

- правила по контролю за установленным программным и аппаратным обеспечением;

- правила, разграничивающие доступ к программному и аппаратному обеспечению;

- запрет установки программного обеспечения и оборудования, не относящегося к обеспечению ТМТ.

Документы, регламентирующие информационную безопасность программного обеспечения, должны содержать:

- перечень программного обеспечения, которое допускается к использованию для ТМК;

- процедуры поиска уязвимостей в программном обеспечении в соответствие с рекомендациями Центра экспертизы безопасности Интернет (Center of Internet Security Expertise - www.cert.org).

 

3.1.2. РЕГЛАМЕНТАЦИЯ ПРОВЕДЕНИЯ ТМК

 

Регламент ТМК должен определять уровень квалификации, полномочия и ответственность участников (конкретного участника) ТМК, используемую стратегию и тактику обеспечения информационной безопасности:

К числу документов регламентирующих проведение ТМК следует отнести:

- регламент (порядок) проведения ТМК;

- технические условия проведения ТМК;

- права доступа к информации, используемой в ходе ТМК и архивным данным БД консультированных пациентов;

- процедуры идентификации и аутентификации пользователей;

- правила контроля качества оцифрованных медицинских документов;

- требования формального контроля целостности медицинской информации путем сопоставления координатором или другим сотрудником ТМЦ полученных документов с их реестром в заявке;

- требования к хранению, копированию и выдаче медицинской документации ТМК;

- обязательства сохранения в тайне конфиденциальной информации, доступ к которой был получен при проведении ТМК, и меры ответственности за нарушение данных обязательств;

- требования к получению лечащим врачом согласия пациента или его родителей (опекуна) на проведение консультации (консилиума) с использованием ТМТ (за исключением бессознательного состояния пациента и отсутствия или недоступности родственников (опекунов), когда такое решение может приниматься, по жизненным показаниям, врачом).

Технические условия на проведение ТМК должны включать:

- перечень используемых при проведении ТМК протоколов связи;

- сведения о пропускной способности (емкости) и надежности каналов связи и используемой коммуникационной аппаратуры;

- информацию о типах каналов связи и их защищенности.

Основные причины нарушения информационной безопасности в ходе ТМК представлены в приложении N 2.

 

3.2. ОБУЧЕНИЕ ПЕРСОНАЛА

 

Обучение персонала - основа информационной безопасности. Оно позволяет уменьшить негативные последствия атак на систему, приводящие к нарушению ее работоспособности и снизить потери информации, а также сократить время, необходимое для восстановления поврежденных данных.

Обучение персонала целесообразно разделить на этапы:

- общий, основанный на изучении документов, регламентирующих работу ТМЦ и проведение ТМК;

- профессиональный, ориентированный на приобретение конкретных знаний, навыков и умений в области информационных и телекоммуникационных технологий, необходимых для выполнения требований, содержащихся в документах, регламентирующих проведение ТМК.

Профессиональное обучение должно сформировать знания, необходимые при работе:

- с электронной почтой;

- с системами видеоконференцсвязи;

- с Интернет (Web-сервер);

- с базами данных;

- с программными средствами защиты информации.

 

3.3. ИСПОЛЬЗОВАНИЕ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ,

УДОВЛЕТВОРЯЮЩИХ КОМПЛЕКСУ ТРЕБОВАНИЙ

ПО ЗАЩИТЕ ИНФОРМАЦИИ

 

Технические решения, направленные на обеспечение информационной безопасности при проведении ТМК, предусматривают:

- использование программно-аппаратных средств, удовлетворяющих условию аутентичности медицинской информации, передаваемой и получаемой в ходе ТМК;

- настройку оборудования;

- контроль наличия слабых мест (уязвимостей) в программном и техническом обеспечении;

- использование специальных программных и аппаратных средств обеспечения информационной безопасности, а именно:

- систем идентификации и аутентификации;

- систем управления разграничением доступа к информации;

- систем фильтрации, анализа трафика и его шифрования;

- систем обнаружения и предотвращения помех (атак) и уязвимостей;

- систем резервного копирования баз данных.

 

 

 

 

 

Приложение N 1

 

СЛОВАРЬ СПЕЦИАЛЬНЫХ ТЕРМИНОВ

 

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел) исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, различить преднамеренные и случайные действия бывает невозможно, и хорошая система защиты должна адекватно реагировать на любое из них. Исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Аутентификация (authentication) - подтверждение подлинности входного пароля пользователя. Аутентификация индивидов в корпоративной системе возможна с помощью информации, хранящейся в различной форме: а) пароль, личный номер, криптографический ключ, сетевой адрес компьютера в сети; б) смарт-карта, электронный ключ; в) внешность, голос, рисунок радужной оболочки глаз, отпечатки пальцев и другие биометрические характеристики пользователя.

Защищенность каналов связи - отсутствие возможности изменения или фальсификации передаваемых по каналам связи данных.

Контроль доступа - определение права на использование определенного ресурса.

Криптографическая защита информации - преобразование исходной информации, в результате которого она становится недоступной для просмотра лицами, не имеющими на это полномочий.

Метки безопасности - метка субъекта, описывающая его благонадежность и метка объекта, описывающая степень закрытости содержащейся в нем информации.

Право - позволяет пользователю выполнять определенные действия в системе.

Произвольное управление доступом - метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит.

Принудительное управление доступом - использование меток безопасности.

Протокол - программное обеспечение, используемое для связи через сеть.

Телемедицинские технологии (ТМТ) - это лечебно-диагностические консультации, управленческие, образовательные, научные и просветительские мероприятия в области здравоохранения, реализуемые с применением телекоммуникационных технологий ("медицина на расстоянии").

Телемедицинский центр (ТМЦ) - медицинское учреждение (подразделение), дистанционно обеспечивающее выполнение следующих функций: лечебно-диагностические консультации (как в реальном режиме времени, так и отложенные), управленческие, образовательные, научные, просветительские мероприятия в области медицины и здравоохранения, реализуемые при наличии соответствующего оборудования и квалифицированного персонала, обеспечивающего предварительную подготовку и передачу/прием материала с применением телекоммуникационных технологий.

Угроза безопасности компьютерной системы - потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.

Уязвимость компьютерной системы - наличие в системе некоей характеристики, которая делает возможным возникновение угрозы (именно из-за наличия уязвимостей в системе происходят нежелательные события).

Шифрование - средство для безопасной связи между пользователями при передаче документов или их фрагментов.

Электронная цифровая подпись - средство защиты данных от изменения в процессе передачи, удостоверяющее принадлежность информации определенному субъекту (объекту).

 

 

 

 

 

Приложение N 2

 

ОСНОВНЫЕ ПРИЧИНЫ НАРУШЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ХОДЕ ТМК

 

Защита информации (обеспечение информационной безопасности) при проведении ТМК предполагает обеспечение целостности и аутентичности передаваемой и преобразуемой информации, ее неизменности и сохранности, доступности и конфиденциальности.

Существуют три основные группы причин нарушения информационной безопасности:

1) ошибочные действия участников ТМК;

2) целенаправленные или ошибочные действия третьих лиц;

3) искажения, возникающие в работе оборудования, технических средств и/или средств связи.

Ошибочные действия участников ТМК могут повлечь за собой:

- уничтожение или повреждение документа или его части;

- повреждение оборудования или изменение его рабочих настроек;

- возможность для третьих лиц получить доступ к медицинской информации, изменить ее, уничтожить, получить доступ к управлению работой оборудования и т.п.

Примерами действий, создающих возможности нарушения информационной безопасности, являются использование программного обеспечения неизвестного назначения и установка в общедоступных местах коммуникационного оборудования с возможностью несанкционированного подключения к нему.

Примером причины, вызывающей нарушение информационной безопасности, является установка оборудования без изменения на нем общеизвестного пароля производителя.

Пример основных вариантов целенаправленных или ошибочных действий третьих лиц, которые могут повлечь за собой нарушение информационной безопасности:

- получение несанкционированного доступа к оборудованию, создающего возможность изменение его рабочих настроек;

- использование ошибок в программном обеспечении или его настройках для получения возможности управлять оборудованием, информационными потоками и/или доступом к информации;

- использование сведений, полученных от участников ТМК, для доступа к медицинской информации.

Причины отказов оборудования, технических средств и/или средств связи:

- самопроизвольный выход оборудования из строя;

- целенаправленные или ошибочные действия третьих лиц;

- ошибочные действия участников ТМК.

 

 

 

 

 

Приложение N 3

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

НА ОСНОВЕ ТЕХНОЛОГИИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

 

Для проведения телемедицинских консультаций необходимо использовать имеющуюся телекоммуникационную инфраструктуру, в том числе, открытые общедоступные сети (Internet). Одним из способов обеспечения информационной безопасности в этой ситуации является создание VPN (Virtual Private Network, Виртуальная Частная сеть). Это сети, которые строятся на основе сетей открытого пользования, но в то же время обмен информацией между компьютерами из VPN и компьютерами открытой сети вообще отсутствует или крайне ограничен. Основной целью создания VPN является предотвращение потенциальных угроз информационной безопасности объектов защиты.

Виртуальная частная сеть должна удовлетворять следующим требованиям:

1) Наличие Центра Управления Сетью (ЦУС), наделенного всеми полномочиями по конфигурированию сети и заданию полномочий пользователей.

2) ЦУС должен иметь возможности в рамках одной VPN создавать сколько угодно независимых VPN. Это необходимо для того, чтобы изолировать различные службы (например, регистратуру от рентгенологического отделения), пусть даже физически расположенные в одном сегменте локальной сети. Для этой цели также возможно использовать VLAN.

3) Элементы защиты расположены на каждом компьютере, входящем в VPN. Если это по тем или иным причинам невозможно или нежелательно, имеется вариант подключения таких компьютеров через защищенные компьютеры (туннели).

4) Для возможности установить систему защиты почти на каждом компьютере, она должна быть обязательно реализована для наиболее распространенных в настоящее время операционных систем Windows 95/98/NT/2000/XP, Linux/Solaris.

5) VPN является легко переконфигурируемой. Конфигурациционная информация, информация о вновь подсоединенных или удаленных точках VPN, обновления ключевых элементов и программного обеспечения высылаются из ЦУСа на все уже имеющиеся точки VPN.

6) IP-трафик каждого компьютера VPN шифруется сразу при выходе с компьютера (а не на "горле" локальной сети, как реализовано в большом числе существующих реализаций VPN).

7) Помимо шифрования система защиты применяет также фильтрацию трафика, превращая VPN в систему распределенных сетевых экранов. Сетевые экраны должны обладать гибкой настройкой для различных комбинаций фильтрации трафика (по протоколу, по портам, по адресам отправителя и получателя, по времени, по отражению известных атак и т.д.). Однако, при достаточно интенсивном (100мб/с и более) обмене программный маршрутизатор, выполняющий такие функции может перестать обеспечивать требуемую производительность.

8) С разрешения ЦУСа на элементе VPN может быть реализован доступ в открытую сеть (вне VPN), однако при этом необходимы меры, обеспечивающие защиту от возможности засылки на такие компьютеры "троянских коней", которые представляют опасность не только для данного элемента VPN, но и для остальных элементов VPN.

9) Решение в рамках рассматриваемой технологии должно основываться на программных средствах, с возможностью при необходимости использования аппаратных решений.

10) Система защиты должна являться прозрачной для всех прикладных программ, используемых в рамках VPN, то есть не влиять на их работу. Пользователи, привыкшие к тем или иным приложениям, не должны испытывать значительных трудностей при установке системы защиты. Кроме приложений, система защиты должна хорошо вписываться в типовые сетевые службы. Так, например, если в корпоративной сети построена доменная структура, то встраиваемая система защиты должна обеспечивать бесконфликтность совместной работы с ней.

11) Решение в рамках рассматриваемой технологии должно являться совместимым с основными используемыми типами Firewall и Proxy. Это позволяет вводить систему в действие, не нарушая уже имеющейся системы защиты, которая по каким-то причинам оказалась недостаточной. В частности, переход из одного адресного пространства в другое (NAT - network address translation) не должен препятствовать работе системы.

12) Помимо on-line служб, в системе имеются off-line службы.

13) Элементы защиты должны иметь возможность самовосстановления после программных или аппаратных сбоев (например, после сбоя в питании, или "зависания OS".

14) На рабочих станциях и серверах, в случае их расположения в помещениях ограниченного доступа, используются средства защиты от несанкционированного доступа (НСД) (авторизация, разграничение доступа и т.д.).

15) Рабочие станции и серверы, в случае невозможности их расположения в помещениях ограниченного доступа при наличии необходимости могут оснащаться дополнительными средствами защиты от НСД (электронные замки, шифрование дисков и т.д.).

16) В системе предоставляется программный интерфейс для реализации криптографических функций для встраивания этих функций в прикладные системы пользователей.

17) Система должна иметь встроенную систему защищенного электронного документооборота, что позволяет на ее основе легко связывать подсегменты корпоративной сети с разными системами документооборота.

18) Система должна быть сертифицирована в соответствии с требованиями законодательства.

Крупнейшие международные производители сетевого и коммуникационного оборудования Cisco и Nortel предлагают программно аппаратные решения для создания VPN. На отечественном рынке VPN в настоящее время имеется весьма ограниченный спектр продуктов для решения поставленных задач:

- Элвис + (продукты серии "Застава").

- Амикон (продукт "ФПСУ").

- Информзащита (продукт "Конфидент - К").

- Jet Infosystems (продукт "Застава Джет").

- Инфотекс (продукты серии "ViPNet".

К основным недостаткам продуктов серии Застава (фирма Элвис +) следует отнести:

- отсутствие собственной криптографической составляющей; продукт "Застава" имеет открытый криптографический интерфейс, и формально можно встраивать криптопровайдеры других компаний, однако этот процесс оказывается достаточно сложным;

- отсутствуют средства для совмещения с системами NAT, которые встречаются практически во всех корпоративных сетях;

- отсутствуют встроенные средства обнаружения атак;

- отсутствует совмещенная система документооборота;

- отсутствует технология подключения защищаемых компьютеров к открытому Интернету без физического отделения компьютера от VPN.

К основным недостаткам продуктов серии "ViPNet" (фирма "Инфотекс") следует отнести неполное соблюдение некоторых международных протоколов и стандартов (например, IPSec, вследствие отсутствия которого могут возникнуть проблемы интеграции с маршрутизаторами Cisco-Nortel-etc). Фирма работает над внедрением таких протоколов.

Продукты "ФПСУ" (Амикон), "Конфидент-К" (Информзащита), "Застава Джет" (Jet Infosystems) обладают следующими общими недостатками:

- отсутствие полнофункционального клиентского места, что делает установку защитной программы на отдельный компьютер просто невозможной или связано со значительным ограничением функций защиты. Так, для этих продуктов невозможна установка защитной программы на отдельный компьютер внутри VPN для разграничения доступа внутри корпоративной сети, хотя, как известно, большая часть злоупотреблений происходит именно внутри корпоративной сети;

- отсутствуют средства для совмещения с системами NAT, которые встречаются практически во всех корпоративных сетях;

- отсутствуют встроенные средства обнаружения атак;

- отсутствует совмещенная система документооборота;

- отсутствует технология подключения защищаемых компьютеров к открытому Интернету без физического отделения компьютера от VPN.

Анализ перечисленных продуктов показывает, что в настоящий момент наиболее полно рассмотренным выше требованиям отвечает продукт "ViPNet" фирмы "Инфотекс".

Пакет программ "ViPNet" в применении к IP-сетям является достаточно универсальным программным средством для создания виртуальных защищенных сетей (VPN) конфигураций.

Наивысший уровень защиты и безопасности обеспечивается при установке соответствующих программных средств на каждый компьютер, участвующий в виртуальной защищенной сети. При этом каждый компьютер полностью персонализируется. Информация, которой данный компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении, в том числе и администраторам безопасности. Информация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью контролируем администраторами безопасности.

В случае, если в локальной сети организационно возможно выделение групп компьютеров и участков сети, где не может быть неконтролируемого пребывания посторонних лиц, то эти группы компьютеров могут защищаться с использованием специального ПО, устанавливаемого на маршрутизаторах под управлением операционных систем Windows N T/2000 или Linux и отделяющих группы компьютеров от основной сети.

Компьютеры, входящие в "ViPNet" VPN, могут располагаться внутри сетей любого типа (Ethernet 10/100/1000 Мбит, Taking Ring, и пр.), поддерживающих IP-протокол, находиться за межсетевым экраном, иметь реальные или частные адреса, подключаться через общедоступные сети путем выделенных или коммутируемых соединений.

Внутри больших локальных или распределенных сетей могут быть созданы информационно независимые и взаимно недоступные VPN-подсети.

Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний инициативный доступ к открытым информационным ресурсам локальной (глобальной) сети, обеспечивать фильтрацию открытого трафика в соответствии с заданной политикой безопасности.

Программные средства "ViPNet" VPN позволяют подсоединить компьютеры, включенные в "ViPNet" VPN, к общедоступным сетям только для защищенных соединений, при этом полностью исключая доступ к компьютерам, не оснащенным средствами защиты. При невозможности установки программных средств на какие-то компьютеры локальной сети, защиту информационного обмена этих компьютеров с удаленными компьютерами можно обеспечить с помощью туннеля.

Основой VPN является драйвер ViPNet, контролирующий входящий и исходящий информационные потоки компьютера между канальным и сетевым уровнями модели OSI, что обеспечивает независимость от операционной системы и недокументированных возможностей в ней. Драйвер ViPNet обрабатывает IP-пакеты до того, как они передаются стандартному стеку TCP/IP, что практически исключает возможность взлома или завешивания самого компьютера, а также приложений и служб, функционирующих на прикладном уровне. Драйвер контролирует не только отправителя и получателя IP-пакетов, но и структуру IP-пакетов, применяя при необходимости технологию DoS (Denial of Service - отказ в обслуживании), что препятствует успешности атак.

При взаимодействии в сети с другими компьютерами, оснащенными этим же ПО, драйвер ViPNet обеспечивает установление между такими компьютерами защищенных соединений. При этом осуществляется полное преобразование всего информационного обмена между двумя компьютерами в нечитаемые форматы, что делает эту информацию недоступной для других компьютеров, в том числе имеющих такое же ПО, но не входящие в данную виртуальную сеть. Одновременно производится инкапсуляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Преобразование информационного потока осуществляется на ключах длиной до 1024 бит. Ключи между каждой парой абонентов зависят как от информации, формируемой Ключевым Центром безопасности (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей). Такая ключевая структура позволяет строить корпоративные виртуальные частные сети на базе ПО ViPNet, с одной стороны надежно управляемые из Центра, а с другой стороны, информационно недоступные для Центра в части пользовательской информации.

Компьютеры могут иметь реальные или частные IP-адреса, как статические, так и динамические.

Система защиты устанавливается непосредственно на рабочих станциях, файловых серверах, серверах приложений, маршрутизаторах под управлением ОС Windows 95/98/NT/2000.

Система защиты обеспечивает прозрачную защиту для любых одновременно работающих приложений (WWW, FTP, Telnet, SQL, аудио-, видеоконференции и др.).

Система защиты имеет службы, позволяющие любому компьютеру VPN иметь оперативную информацию о доступности связанных с ним компьютеров, их адресах.

В системе защиты реализованы механизмы предоставляющие высокую степень надежности и достоверности доставки информации (альтернативные способы передачи информации, квитирование на разных уровнях, подтверждения доставки и использования информации на прикладном уровне, невозможность получения искаженной информации и др.).

Программное обеспечение ViPNet включает в себя следующие программные модули:

Администратор - предназначен для формирования и модификации логической структуры VPN, формирования ключевой и адресной информации и определения полномочий для конечных пользователей. Для выполнения основных функций Администратор осуществляет:

- регистрацию коллективов пользователей и конкретных пользователей VPN сети;

- установление допустимых связей между коллективами пользователей, задание полномочий и прав доступа к различным службам и приложениям;

- формирование и автоматическое защищенное обновление VPN сети в заданное время адресных справочников, ключевой информации и ПО;

- формирование и модификацию ключевой и парольной информации для внутрисетевого и межсетевого взаимодействия в соответствии с изменениями в конфигурации сети;

- сертификацию электронно-цифровой подписи абонентов;

- защищенный мониторинг и управление объектами сети, сбор и анализ журналов разного уровня.

Координатор - многофункциональный модуль, выполняющий функции:

- межсетевого экрана;

- сервера-маршрутизатора для почтовой и управляющей информации;

- сервера IP-адресов;

- сервера-туннеля и прокси-сервера защищенных соединений.

Клиент предназначен для установки на рабочие станции, включает в себя:

- драйвер "ViPNet" сетевой защиты и программу монитор для управления им;

- персональный сетевой экран;

- защищенную почтовую службу и ряд служебных функций.

Почтовая служба, входящая в состав "Клиента", характеризуется:

- работой через любые стандартные средства телекоммуникаций;

- автоматической системой ведения учетной нумерации отправленных сообщений;

- развитой системой подтверждений доставки и использования полученной документации с фиксацией событий: кто и когда отправил, кто и когда получил, кто и когда использовал, кто и когда удалил документ;

- системой хранения и поиска документов по различным критериям;

- системой идентификации документов и привязкой их к конкретным лицам, в том числе с использованием электронно-цифровой подписи.

При использовании Координатора в качестве сервера IP-адресов и почтовых сообщений и сервера VPN PROXY с одним сетевым адаптером трафик между любым компьютером локальной сети с установленным ПО ViPNet [Клиент], а также удаленным пользователем в ИНТЕРНЕТ с установленным ПО ViPNet [Клиент] защищен от постороннего доступа. Для защиты используются:

- ПО ViPNet [Клиент] - устанавливается на защищаемом компьютере локальной сети и защищаемом мобильном компьютере.

- ПО ViPNet [Координатор] - устанавливается на одной из рабочих станций или сервере локальной сети.

- Компьютер, на котором не установлено ПО ViPNet [Клиент] не защищен от атак из ИНТЕРНЕТ, если в сети не установлен FIREWALL другого типа.

Использование такой конфигурации целесообразно, если в организации стоит внешний FIREWALL, реализующий функции преобразования адресов. Дополнительных реальных адресов не требуется. Для минимизации настроек на этом внешнем FIREWALL для пропуска защищенного трафика от станций с ПО ViPNet [Клиент], устанавливается Координатор с функциями VPN PROXY, через который пропускается весь защищенный трафик с машин, на которых установлены Клиенты. На внешнем FIREWALL потребуются настройки только для Координатора, т.е. необходимо настроить маршрутизацию пакетов от Координатора в Интернет и перенаправление UDP пакетов с портом 55777, пришедших на Fire Wall, на Координатор. Все защищенные станции локальной сети при установлении соединений с удаленной защищенной станцией работают через Координатор от его имени.

Трафик компьютеров локальной сети с открытыми источниками ИНТЕРНЕТ полностью контролируется. Доступ к информации внутри сети жестко разграничен.

Для компьютеров, имеющих реальные IP-адреса, на которых не установлен ViPNet [Клиент], есть возможность обеспечить их защиту от атак из ИНТЕРНЕТ и разграничить при необходимости их доступ в ИНТЕРНЕТ.

Такая конфигурация может быть использована в случае:

- Наличия только одного реального адреса для Координатора (если не требуется работа защищенных станций с открытыми источниками ИНТЕРНЕТ).

- Если требуется работа с открытыми источниками ИНТЕРНЕТ, то для всех защищенных станций должны быть выделены реальные адреса или должен присутствовать внешний FIREWALL, реализующий функции преобразования адресов (реальные адреса в этом случае не требуются).

При невозможности или нежелании установки программных средств ViPNet на каждый компьютер локальной сети офиса, работу по защите трафика этого компьютера можно поручить программному обеспечению ViPNet TUNNEL. Координатор в этом случае создаст защищенный "виртуальный туннель" от себя до аналогичного Координатора.

Офисы физически могут быть соединены практически любыми каналами связи (ИНТЕРНЕТ, коммутированными, выделенными, локальной сетью, и другими). Пакеты, не подлежащие защите, подвергаются стандартной фильтрации.

 

 



Все нормативно-правовые акты по медицине // Здравоохранение, здоровье, заболевания, лечение, лекарства, доктора, больницы //

Яндекс цитирования

Copyright © Медицинский информационный ресурс www.hippocratic.ru, 2012 - 2024