Конфидециальность и защита

В соответствии с результатами государственной экспертизы в сфере технической защиты информации, автоматизированная медицинская информационная система «ЕМСИМЕД» является средством, которое разрешено к использованию при обеспечении технической защиты государственных информационных ресурсов и информации, требования относительно защиты которой, установлены законом.


Как защитить информацию ЛПУ от посторонних глаз?
Как избежать утечки данных о пациентах в руки конкурентам и просто недоброжелателям?
Ладно утечка, что, если данные и вовсе будут утеряны из-за непреднамеренной ошибки врача или медсестры?


К счастью, с медицинской информационной системой «ЭМСИМЕД» об этих вопросах можно забыть. Дело в том, что мы сами понимаем всю важность этого аспекта информатизации и потому используем несколько подходов и технологий для устранения даже малейших рисков потери или угона любой информации, проходящей через систему.

Начнем с того, что руководство учреждения само принимает решение о том, какой доступ мы будем иметь к имеющейся информации во время подключения системы и ее внедрения. Чаще всего мы подписываем с заказчиками договор о неразглашении. В отдельных случаях можем быть вообще не допущены к аппаратному обеспечению – тогда большинство операций совершается через администратора клиники.

В дальнейшем устранение проблем может происходить следующим образом: мы узнаем о проблеме, задаем наводящие вопросы, просим выполнить определенные действия и изучаем результаты. Далее мы пишем в собственном офисе специальные программы-заплатки, которые при установке в систему могут помочь решить проблему. Если это была ошибка с нашей стороны – мы ее исправляем. Если это ошибка вследствие некорректного использования системы – мы пишем код, который исправляет то, что было сделано пользователя неправильно.

Конечно, такую задачу может попробовать решить и администратор клиники, однако это чревато еще худшими последствиями, и в погоне за целостностью лучше решать такие проблемы специалистам системы.

Важно заметить, что и пациенты имеют право на конфиденциальность таких данных. Поэтому система подразумевает возможность давать или запрещать разрешение на обработку персональных данных. В случае положительного ответа, пациент дает согласие о том, что о нем разрешено вести статистику в этой базе.

Перейдем к вопросу защиты данных. Для хранения и передачи необходимой информации на рабочие места медперсонала используется трехуровневая система: SQL-Сервер баз данных – Application Server – Client. Это значит, что сервер приложения общается только с сервером базы данных, где лежат все данные, вводимые в систему, а клиент-машина общается только с сервером приложения. Таким образом, прямого доступа к базе данных никто из сотрудников не имеет, что делает невозможным, да и бессмысленным взлом любой отдельной рабочей станции.

Более того, невозможно работать с МИС «ЭМСИМЕД» без специального USB-ключа, который мы выдаем учреждению. В такой ключ записывается уникальный набор данных, и подделать такое устройство попросту невозможно. Такая защита не только гарантирует безопасность данных вашего учреждения, но и делает невозможным пиратское копирование нашего программного обеспечения.
Наконец, соединения между базами данных сервера и клиента шифруются по SSL-протоколу методом AES128. Так достигается защита каналов передачи данных и их сжатие, за счет чего значительно экономится и количество передаваемого трафика (что особенно актуально при наличии удаленных ресурсов).

Один из дополнительно приобретаемых модулей системы «ЭМСИМЕД» под названием «Биометрический контроль» при необходимости вводит дополнительную степень защиты системы. С его внедрением каждый сотрудник системы будет определен по отпечатку пальца, оставленному на специальном считывающем устройстве.

Нельзя исключать и человеческий фактор. Сколь бы ни были защищена система от третьих лиц, невозможно избежать случайных действий со стороны самого пользователя. Именно поэтому в системе «ЭМСИМЕД» есть возможность разграничить права доступа и функции для разных групп пользователей, а также встроена система логирования. С ее помощью ведется запись каждого действия, совершенного каждым пользователем системы, включая дату этого действия и все связанные с ним подробности.

Если пользователь внезапно испортит что-либо в системе, такие изменения всегда можно будет отследить и отменить. Такая возможность пригодится еще и если неблагонадежный сотрудник задним числом постарается изменить собственноручно поставленный диагноз, чтобы, к примеру, снять с себя подозрения в случае медицинской ошибки, приведшей к печальным последствиям.

Подводя итог, следует заметить, что система «ЭМСИМЕД» полностью удовлетворяет даже самым высоким стандартам к защите информации, поскольку защищена в каждом аспекте собственной деятельности. Благодаря тому, что вход в систему требует USB-ключа, передача данных зашифрована, пользователи ограничены в правах, а любые неверные действия всегда можно отменить, еще ни один наш клиент нам не пожаловался на утечку или потерю данных.