16. Защита информации от несанкционированного доступа
МИС МО должна удовлетворять условиям по защите информации, установленным действующим законодательством и обеспечивать возможности разграничения и контроля доступа к системе в целом, отдельным ее функциям, реестрам документов, отдельным документам и частям документов на ролевой основе, в том числе для групп пользователей.
С точки зрения конфиденциальности информации в системе используются:
- персональные данные, составляющие "личную тайну", а также врачебную тайну;
- технико-экономические данные (о взаиморасчетах между учреждениями здравоохранения), составляющие коммерческую тайну;
- данные о медико-демографической и эпидемиологической ситуации, составляющие служебную тайну.
МИС МО должна поддерживать следующие функции защиты информации от несанкционированного доступа:
- аутентификация и авторизация пользователя по логину и паролю условно-постоянного действия;
- управление списками контроля доступа для всех основных объектов МИС МО, включая базы данных, отдельные записи в БД, объекты интерфейса и т.д.;
- изменение прав управления доступом пользователей к ресурсам МИС МО;
- регистрация действий пользователей по доступу к информационным ресурсам и использованию функций МИС МО, любых изменений и запросов к данным, включая их содержание, а также регистрация изменений прав управления доступом;
- регистрация неудачных попыток доступа и изменения системных объектов с сохранением даты и времени, регистрационного имени пользователя системы и типа события в журнале и возможность его анализа;
- обеспечение доступа к данным системы только зарегистрированным авторизованным пользователям, подписавшим специальное соглашение о неразглашении конфиденциальной информации и врачебной тайны.
В рамках проекта внедрения МИС МО со стороны МО должны быть реализованы инфраструктурные сервисы безопасности, обеспечивающие базовый уровень информационной безопасности для МИС МО.
Инфраструктурные сервисы должны обеспечивать:
- идентификацию и авторизацию пользователей;
- управление событиями информационной безопасности;
- инвентаризацию и мониторинг состояния информационной безопасности;
- контроль действий администраторов систем;
- систему антивирусной защиты;
- систему сетевой безопасности, включающую в себя средства межсетевого экранирования, IDS/IPS, сегментирование сетевой инфраструктуры и инфраструктуры систем хранения, VPN.
Инфраструктурные сервисы могут дополняться механизмами информационной безопасности прикладных систем в соответствии со специальными требованиями по информационной безопасности.
МИС МО должна поддерживать инфраструктуру открытых ключей электронной подписи (ЭП). Средства реализации механизмов ЭП должны соответствовать действующему законодательству Российской Федерации.
В системе должен быть реализован механизм учета автора (и времени) создавшего запись, множественность хранения записей с привязкой ко времени их создания и ко времени корректировки изменений.
МИС МО должна обеспечивать защиту персональных данных пациентов на основе ролевого управления доступом, ограничивающего и контролирующего доступ пользователей к информации, содержащей сведения о пациентах.
Каждый пользователь должен проходить процедуру аутентификации, а затем, при попытках получения доступа к данным, - авторизацию, т.е. проверку разрешений пользователя по отношению к какому-либо защищаемому ресурсу. МИС МО должна быть устроена таким образом, чтобы функции, осуществляющие контроль за безопасностью данных, вызывались и успешно выполнялись прежде, чем разрешается выполнение любой другой функции в пределах МИС МО. МИС МО должна эффективно предотвращать любые попытки доступа к данным со стороны неавторизованных лиц.
МИС МО должна обеспечивать набор средств аудита, предназначенных для мониторинга и обнаружения нежелательных условий, которые могут возникнуть, а также событий, которые могут произойти в системе. Мониторинг относящихся к безопасности событий должен позволять обнаруживать нарушителей безопасности, а также выявлять попытки несанкционированного доступа к системе или защищаемой информации.
Запись результатов аудита событий безопасности должна осуществляться в журналы регистрации событий аудита, доступ к которым должен быть разрешен только уполномоченному администратору безопасности МИС МО. МИС МО должна быть способна к предотвращению модификации и удаления записей аудита. Просмотр журналов регистрации событий аудита должен выполняться только с использованием специализированных инструментальных средств. Данные средства должны предоставлять возможность мониторинга и регистрации только тех событий аудита, которые удовлетворяют заданным критериям, что позволит ограничить объем данных, собираемых о событиях безопасности.
МИС МО должна обеспечивать защиту данных аудита от потери, используя различные виды реакции (оповещение администратора, возможность аварийного завершения работы и т.д.) при условии невозможности внесения в журнал аудита записи о событиях безопасности.
МИС МО должна предоставлять возможности для обеспечения защиты функций безопасности. Изоляция процессов и поддержания домена безопасности должны обеспечивать безопасное выполнение функций безопасности МИС МО.
Возможность осуществления периодического тестирования среды функционирования МИС МО и собственно самих функций безопасности должна обеспечивать поддержание уверенности администратора в целостности и корректности функционирования функций безопасности.
Разработчик должен документировать процедуры, необходимые для безопасной установки, генерации и запуска компонентов МИС МО.
Функции безопасности на уровне работы пользователей с приложениями МИС МО должны включать в себя такие функции защиты от несанкционированного доступа и изменения, как аутентификацию пользователей, авторизацию при попытке доступа к транзакциям и документам, подтверждение и протоколирование действий, включая протоколирование всех действий администраторов системы.
МИС МО должна обеспечивать задание правил доступа к пунктам меню. Должна быть возможность запрета просмотра некоторых меню и подменю. Данную функцию следует применить как к индивидуальным пользователям (ролям), так и к группам.
МИС МО должна поддерживать установленную политику использования паролей.
Объем и содержание обрабатываемых персональных данных определяется в соответствии с согласиями на обработку персональных данных, составленных с учетом требований законодательства Российской Федерации.
В медицинских организациях обрабатываются различные виды и категории персональных данных пациентов. Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" определяет, что при ведении персонифицированного учета сведений о застрахованных лицах осуществляются сбор, обработка, передача и хранение следующих сведений о застрахованных лицах:
6) данные документа, удостоверяющего личность;
10) страховой номер индивидуального лицевого счета (СНИЛС), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;
11) номер полиса обязательного медицинского страхования застрахованного лица;
12) данные о страховой медицинской организации, выбранной застрахованным лицом;
13) дата регистрации в качестве застрахованного лица;
14) статус застрахованного лица (работающий, неработающий);
15) сведения о медицинской организации, выбранной застрахованным лицом в соответствии с законодательством Российской Федерации для получения первичной медико-санитарной помощи.
В этом же законе определено, что при ведении персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, осуществляются сбор, обработка, передача и хранение следующих сведений:
1) номер полиса обязательного медицинского страхования застрахованного лица;
2) сведения о медицинской организации, оказавшей медицинские услуги;
3) виды оказанной медицинской помощи;
4) условия оказания медицинской помощи;
5) формы оказания медицинской помощи;
6) сроки оказания медицинской помощи;
7) объемы оказанной медицинской помощи;
8) стоимость оказанной медицинской помощи;
10) профиль оказания медицинской помощи;
11) сведения о медицинских услугах, оказанных застрахованному лицу, и о примененных лекарственных препаратах;
12) примененные стандарты оказания медицинской помощи;
13) сведения о медицинском работнике или медицинских работниках, оказавших медицинские услуги;
14) результат обращения за медицинской помощью;
15) результаты проведенного контроля объемов, сроков, качества и условий предоставления медицинской помощи.
Кроме этого в отдельных случаях в МО могут собираться и другие сведения, необходимые для оказания медицинских услуг и их учета, например:
3) сведения об образовании, профессии;
4) сведения о состоянии здоровья;
6) идентификационный номер налогоплательщика (ИНН);
7) копии документов, удостоверяющие личность (паспорт или иной документ);
8) копии документов, подтверждающих право на дополнительные гарантии, льготы и компенсации по определенным основаниям (об инвалидности, ветеранстве, нахождении в зоне радиации, службе в подразделениях особого риска, составе семьи, беременности работницы, возрасте детей и т.п.);
9) договор гражданско-правового характера между субъектом и лечебным учреждением;
10) документы, подтверждающие факты расчетов по договорам;
11) личные заявления пациентов;
12) материалы расследований несчастных случаев.
К учетным документам медицинской организации, содержащим персональные данные пациентов, относятся следующие документы и их комплексы:
2) медицинские карты амбулаторных пациентов;
3) медицинские карты стационарных больных;
4) бланки с результатами анализов, обследований;
5) договоры на оказание медицинских услуг;
6) счета за оказанные медицинские услуги;
7) журналы для регистрации выполненных услуг, обследований, оформленных листов нетрудоспособности и т.п.;
8) заключения по врачебным экспертизам;
9) иные документы, необходимые для учета медицинских услуг.
Сроки хранения документов, содержащих персональные данные, определяются на основании требований, установленных законодательством Российской Федерации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей