6.2. Безопасность информационных систем

Вся информация, собираемая в течение жизни пациен­та, разделяется с точки зрения доступа к ней сотрудни­ков медицинского учреждения. Этот процесс регламенти­руется специальным разделом медицины — деонтологи­ей.

Вопросы безопасности медицинских информационных систем являются частью глобальной проблемы информа­ционной безопасности. Медицинская информация о паци­ентах, хранящаяся в регистрах, базах данных и электрон­ных архивах, передаваемая в процессе телемедицинских сеансов, а также коммерческая информация о деятельно­сти медицинских учреждений является конфиденциаль­ной (приказ Президента РФ от 6.03.1997 №188). В соот­ветствии с Гражданским кодексом РФ (ст. 139, п. 1, 2) конфиденциальная информация охраняется законом.

Поскольку использование, искажение или уничтоже­ние конфиденциальной Информации о состоянии здоро­вья человека может быть причиной нанесения серьезного

морального или материального ущерба, она может являть­ся объектом преступной деятельности.

Совет Европы принял 27.04.2000 г. рабочий вариант Конвенции о преступлениях в компьютерной сфере (http:/ /conventions, сое. int/treaty/en/projets/cybercrime.htp).

1. Неправомерный доступ к информации — умышлен­ный доступ ко всей или части компьютерной системы без имеющегося на то права. Данное преступление может быть связано с нарушением мер безопасности с целью измене­ния компьютерной информации или с иной недобросовес­тной целью.

2. Перехват информации — умышленный неправомер­ный перехват информации, не предназначенной для пуб­личного распространения, совершенный техническими средствами непосредственно из компьютерной системы или вне ее, за счет снятия электромагнитных излучений, не­сущих такую информацию.

3. Модификация данных — умышленное неправомер­ное повреждение, удаление или подавление компьютер­ных данных.

4. Системная модификация — умышленное неправо­мерное создание серьезных препятствий для функциони­рования компьютерной системы путем ввода, передачи, повреждения, удаления, ухудшения, изменения или по­давления компьютерных данных.

5. Создание неправомерных устройств — неправомер­ное изготовление, продажа, использование, распростра­нение:

а) устройств, включающих компьютерные программы, созданные или приспособленные для целей неправомер­ного доступа к компьютерной информации;

б) компьютерных паролей, кодов доступа или подоб­ных данных, дающих право доступа к компьютерной сис­теме или ее части, с целью совершения неправомерного

доступа к информации, ее перехвата, модификации дан­ных или системной модификации.

Среди медицинских учреждений России наиболее глу­боко и полно проблема безопасности информационных систем разрабатывается в Медицинском центре Управле­ния делами Президента Российской Федерации (Емелья­нов А.В. с соавт., 2000). В ряду опасных воздействий на информационные системы авторы выделяют следующие:

а) случайные или намеренные действия зарегистриро­ванных пользователей информационных систем. Для защиты от отого фактора применяются электронные кар­точки, автоматическое блокирование рабочих станций, лимит на рабочее время, в течение которого пользователь может получить доступ к системе, регулярные смены па­ролей и т.д.;

б) второе место по степени опасности занимают ком­пьютерные вирусы.

в) перехват или модификация данных, заполнение сети ложными пакетами информации и другие действия, на­правленные на выход из строя сетевого оборудования или серверов с использованием сетей передачи данных. Охра­на территорий, на которых расположены средства связи (информационный кабель, усилители сигнала — репите­ры и т. д.) имеет высокую важность.

Не касаясь вопросов использования аппаратных мето­дов защиты компьютеров и их сетей, таких как брандма­уэры (межсетевые экраны), ргоху-еерверы, smart-карты и т. д., коротко остановимся на программной подсистеме бе­зопасности информационной системы. Она должна вклю­чать следующие средства и функции:

— средства распределения прав доступа, которые га­рантируют возможность получения доступа только к той информации и программам, которые необхо­дима для выполнения функциональных обязаннос­тей. При этом все взаимоотношения «Пользова­тель — Система —• Информация» роль координато­ра выполняет администратор системы, имеющий

. максимально возможные права доступа; главная функция — возможность предоставлять или огра­ничивать доступ всех остальных пользователей и дру­гих служащих к системе;

— средства протоколирования использования БД по­зволяют четко контролировать доступ к ресурсам ИС, попытки несанкционированных действий или пре­вышение пользователями своих прав;

— средства шифрования БД и сетевого трафика позво­ляют гарантировать, что во время передачи инфор­мации по каналам связи в случае ее перехвата она не сможет быть прочитана «злоумышленником»;

— средства сокрытия кода приложений ИС гарантиру­ют, что попытка чтения кода приложений ИС не­возможна или крайне затруднена.

Распределение прав доступа. Все современные БД по­зволяют в той или иной степени разделять права доступа пользователей к информации. Опишем принципиальную работу пользователя с точки зрения проверки прав дос­тупа.

1. Началом работы является аутентификация. При этом используется учетная запись пользователя, которая обра­зуется открытым именем пользователя и зашифрованным паролем. Учетная запись каждого пользователя хранится в определенном виде в ИС. Например, Windows NT ис­пользует так называемую базу данных учетных записей, которые хранятся на контролерах домена NT. При вы­полнении процедуры идентификации пользователь вво­дит свое имя и пароль, которые затем проверяются систе­мой на правильность.

2. В случае выполнения первого шага для пользовате­ля открывается сеанс связи с сервером. Все последующие действия выполняются от имени учетной записи, для ко­торой он успешно ввел пароль.

3. При доступе к БД сервер проверяет, имеется ли у текущего пользователя право на ту информацию, кото­рую он запрашивает. В случае положительного решения информация предоставляется пользователю, в случае от­рицательного решения — в доступе отказывается.

Итак, для каждого объекта медицинской информаци­онной системы должен быть задан список, согласно ко­торому сама ИС будет проверять, имеет ли данный пользо­ватель право на доступ к этому объекту или нет. В лите­ратуре и на практике чаще всего такой список называется ACL, от английского Access Control List — список уп­равления доступом. Основными объектами ИС, для ко­торых в обязательном порядке должен быть задан ACL, являются:

• информация, хранящаяся в БД;

• приложения, входящие в состав пакета программ системы;

• команды и функции в приложениях, которые могут использоваться с различным уровнем доступа.

Список управления доступом к информации в БД ИС должен указываться для:

• конкретного вида информации (поля);

• определенной области документа (например, стати­стической информации);

• отдельно взятого документа;

• отдельно взятой группы документов, относящихся к одному виду (например, заключений лаборатор­ной диагностики);

• отдельной базы данных, входящей в состав ИС;

• сервера.

При этом порядок проверки должен осуществляться от большого к малому — т. е. вначале необходимо пройти проверку на разрешение доступа к амбулаторной карте, затем к ее компонентам и т. д.

ACL объектов хранятся постоянно. Они генерируются одновременно с созданием документа.

Реакция на проверку наличия текущего пользователя в ACL может быть в виде:

• скрытого отказа, когда пользователь просто «не ви­дит» тех объектов, к которым он не имеет права доступа. Такая реакция может быть у приложения, которое динамически строит свое меню в зависимо­сти от прав пользователя;

• не протоколируемого отказа, когда пользователю, пытающемуся получить доступ к объекту, выводит­ся сообщение о том, что ему в доступе отказано. Такой отказ системой никак не протоколируется;

• протоколируемого отказа, когда этот факт система протоколирует в специальном журнале;

• отказ с извещением: пользователю в доступе отка­зывается, и система извещает администратора или другое доверенное лицо о факте такого отказа, на­пример, по электронной почте.