Специалисты кафедры "Информационная безопасность" Московского Политеха представили анализ ключевых уязвимостей в системе защиты медицинских данных и разработали практические рекомендации по их устранению. Особое внимание уделено защите локальных сетей медучреждений, внедрению сертифицированных средств защиты и регулярному аудиту безопасности. Эксперты отмечают, что эти меры становятся особенно актуальными в свете последних изменений законодательства об усилении ответственности за утечку персональных данных.
В ходе доклада специалисты обозначили критические точки в системе защиты медицинских данных и представили комплекс мер по предотвращению утечек конфиденциальной информации. Анализ охватил все уровни медицинских информационных систем - от федеральных баз данных до локального оборудования больниц.Ключевым фактором защиты, по мнению экспертов, является правильная настройка локальных вычислительных сетей медицинских учреждений. Важно обеспечить сегментацию сети, разграничение доступа к различным типам медицинских данных. Так например, информация от лабораторного оборудования для экстренной диагностики должна храниться отдельно от административных систем. Это позволит минимизировать риски несанкционированного доступа к критически важным данным пациентов.
Второй важный аспект - внедрение сертифицированных средств защиты информации. Эксперты рекомендуют использовать специализированные решения для мониторинга и анализа защищенности медицинских информационных систем. При этом программное обеспечение должно соответствовать требованиям ФСТЭК России, изложенным в приказах ФСТЭК №17, №31 и №239. Особенно важно обеспечить защиту данных в системах, связанных с постановкой диагноза и назначением лечения.
Третьим ключевым элементом является регулярный аудит безопасности. Медицинским организациям необходимо проводить оценку защищенности информационных систем не реже раза в квартал. Это позволит своевременно выявлять и устранять потенциальные уязвимости в системах хранения и обработки данных пациентов. В ходе таких проверок особое внимание следует уделять анализу журналов доступа, выявлению нестандартных действий пользователей и тестированию механизмов защиты.
Значительное внимание в докладе было уделено защите специализированного медицинского оборудования. В частности, системы лучевой диагностики и терапии требуют особых мер безопасности, так как напрямую влияют на постановку диагноза и ход лечения пациентов. Специалисты рекомендуют внедрить многофакторную аутентификацию для доступа к такому оборудованию и обеспечить шифрование передаваемых данных.
Эксперты также подчеркнули важность защиты федеральных информационных систем в сфере здравоохранения, включая Единую государственную информационную систему (ЕГИСЗ). Для этих систем рекомендуется внедрение дополнительных механизмов контроля доступа и мониторинга действий пользователей, а также регулярное обновление средств защиты в соответствии с учетом вновь выявленных угроз.
Важный аспект — вопрос защиты лабораторных информационных систем. Учитывая критическую важность результатов лабораторных исследований для постановки диагноза, необходимо обеспечить не только конфиденциальность данных, но и их целостность, а также доступность для авторизованного медицинского персонала.Доклад был представлен в рамках Международного кейс-чемпионата "Медицинская аналитическая платформа", организованного Факультетом информационных технологий Мосполитеха совместно с Компанией "Гарант", Компанией "Консультант Плюс", Ассоциацией юристов Москвы, СНО МГУ имени М.В. Ломоносова, СНО ВШГА МГУ имени М.В. Ломоносова, Ташкентским Университетом информационных технологий имени Мухаммада ал-Хоразмий и другими партнерами.
Никто пока не комментировал эту страницу.
В стандарте [6] предусмотрено присваивать различным документам вида «расчет» код[1] документа РР, а для локальной сметы код документа ЛС.
Никакой необходимости использовать код Б для обозначения документов, в названии которых нет слова «Обоснование», не существует, а отсутствие документов, в названии которых использовано это слово подтверждает, что из ГОСТ 34.201-2020 должен быть исключен фактически не существующий документ «Обоснование».
Литература:
6 ГОСТ Р 21.101-2020 Основные требования к проектной документации
7 Н. Зенин. Судьба требований ГОСТ 34-й серии в проектах по информационной безопасности // [Электронный ресурс], режим доступа: https://www.anti-malware.ru/practice/methods/GOST-requirements-34th-series-in-information-security-projects
[1] В данном стандарте вместо термина «код документа» используют словосочетание «шифр документа»
Разработчики стандартов иногда предлагают новые виды документов, объясняя это тем, что существующих видов документов недостаточно для новых изделий. Например, в таблице 1 стандарта [1] перечислены несколько видов документов, разрабатываемых для автоматизированных систем (далее АС). Обратим внимание на документ «Обоснование» (код документа Б). Его назначение определено так:
«Изложение сведений, подтверждающих целесообразность принимаемых решений»
Отметим, что в числе толкований значений слова «обоснование» есть и тексты, служащие основанием для принятия решения.
Какие же текстовые документы приведены в таблице 2 стандарта [1], где перечислены конкретные документы?
Как ни странно, но документа со словом «обоснование» в названии нет ни в стандарте [1] нет, как нет его и в отменном руководящем документе [2].
Слово «обоснование» в [2] использовано в названии раздела отчета, разрабатываемого на стадии формирования требований к АС – Обоснование необходимости совершенствования информационной системы объекта.
«Обоснование» содержится ещё в двух стандартах [3, 4], где применено в названии этапа работы – Обследование объекта и обоснование необходимости создания АС.
Отметим, что в cтандартах [3, 4] обоснование необходимо для вынесения технико-экономической, социальной и т.п. оценок на стадии формирования требований к АС.
При этом сам документ, содержащий результаты обоснования, оформляют в виде отчета по ГОСТ 7.32 [5], а не в виде документа вида «Обоснование».
Обратимся теперь к стандарту [1] и посмотрим какие же документы с кодом Б (присвоен документу «Обоснование») указаны в таблице 2:
- локальный сметный расчет (код Б2);
- проектная оценка надежности системы (код Б1);
- локальная смета (код Б3).
Из перечисления видно, что ни в одном из названий этих документов с кодом Б нет слова «Обоснование».
Продолжение следует