Моделирование системы менеджмента информационной безопасности медицинской организации

Сущность стратегических процессов медицинской организации. Характеристика и особенности модели системы менеджмента информационной безопасности медицинской организации. Причины возникновения возможных угроз информационной системы персональных данных.

Рубрика Менеджмент и трудовые отношения
Вид реферат
Язык русский
Дата добавления 22.05.2016
Размер файла 186,2 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Моделирование системы менеджмента информационной безопасности медицинской организации

Статья посвящена моделированию системы менеджмента информационной безопасности медицинской организации в соответствии с требованиями международного стандарта ISO/IEC 27001:2005. Представлена и описана модель системы менеджмента информационной безопасности, ее структура и этапы внедрения в медицинской организации.

Одним из важнейших разделов, позволяющих медицинской организации реализовать свою деятельность на современном уровне, является внедрение информационных систем. Тема информатизации по-прежнему является чрезвычайно актуальной в отрасли здравоохранения, что подтверждается широкомасштабными мероприятиями, реализованными в рамках программы модернизации здравоохранения Российской Федерации. Процесс информатизации в системе здравоохранения продолжается и проходит весьма непросто. Очевидно, что разброс ее результатов имеет очень широкий диапазон в разных медицинских организациях и по разным территориям страны: от реализации этапа технического обеспечения (закупка компьютеров, построение локальных сетей и т.д.), фрагментарного внедрения информационных систем до полной информатизации учреждений здравоохранения с созданием полнофункциональных медицинских информационных систем. Последнее, к сожалению, встречается не очень часто. стратегический медицинский безопасность угроза

Опыт произошедших в последние десятилетия изменений в отрасли показал, что информатизация медицинских организаций не является самоцелью, а позволяет детализировать и систематизировать огромный объем информации, поступающий к руководству медицинской организации. Следующим этапом должна стать интеграция медицинских информационных систем с системами электронного документооборота, справочно-правовыми информационными системами, бухгалтерскими и кадровыми информационными комплексами. Создание таких многогранных систем потребует решения многих задач, в том числе по защите персональных данных, хранению, архивированию и доступу к данным. Управление такими массивами данных потребует создания алгоритмов формирования проектов управленческих решений самой информационной системой.

В доступной литературе достаточно полно отражены подходы к информатизации, защите персональных данных и управлению рисками информационной безопасности. Ряд авторов указывает на необходимость достоверной оценки эффекта от внедрения медицинских информационных систем. Методы оценки должны давать возможность комплексно анализировать как технические, так и социальные аспекты использования медицинской информационной системы, выявлять проблемные области, недоработки и узкие места в целях дальнейшего совершенствования системы [2]. Имеется опыт разработки информационной системы оценки эффективности внедрения стандартов медицинской помощи, которая представляет собой вычислительный комплекс, отражающий объективные законы, которые показывают взаимосвязь между эффективностью в здравоохранении и ресурсами, выделяемыми на оказание медицинской помощи [9]. Отдельные разработки направлены на создание в лечебно-профилактических учреждениях автоматизированной информационной системы, обеспечивающей учет функций сотрудников и оптимизацию организационно-штатной структуры ЛПУ [3]. Частично управленческий труд организатора здравоохранения вполне возможно заменить алгоритмизацией всех процессов документооборота в учреждении, созданием программных методов формирования локальных нормативных актов (приказов, писем), служебных записок и т.д. [8, 7].

Внедрение современных информационных систем в здравоохранение Российской Федерации за последние годы перешло на новый уровень и ставит сложные задачи по интеграции новых технологий в такую непростую и с трудом, а порой болезненно изменяемую систему, как медицина [4, 5]. Одной из наиболее актуальных проблем, которые сегодня приходится решать медицинской организации при внедрении современных информационных технологий, является защита конфиденциальной информации. Появляются отдельные сообщения о работе в данном направлении.

Вместе с тем информационные системы и сети медицинской организации имеют множество угроз для безопасности. Источниками угроз могут быть хакерские атаки, мошеннические программы, разного рода воздействия, вызывающие отказы в работе информационных систем. Вне зависимости от того, в каком виде информация сохраняется, каким образом используется, необходимо реализовывать адекватные меры защиты. Каждый руководитель медицинской организации должен объективно оценивать текущее состояние информационных систем, видеть и понимать нужды в информационном обеспечении и существующие информационные проблемы.

В этом контексте тема создания системы управления информационной безопасностью медицинской организации остается одной из наиболее актуальных в сфере информатизации и построения системы управления, поскольку речь идет о наиболее критичных персональных данных - о состоянии здоровья людей. К данной категории информации относятся все сведения из истории болезни, анамнез заболевания, детали о наследственности и другие данные медицинского характера, которые требуют максимального уровня защиты [10, 11]. Защита информации в медицинской организации должна осуществляться путем реализации ряда мероприятий организационного характера, включающего разработку и реализацию политики в области информационной безопасности, описание и улучшение процессов, процедур, применение программных и аппаратных средств защиты.

Особенно актуальной данная задача представляется в свете реализации Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных". Для обеспечения безопасности персональных данных пациентов медицинских организаций необходимы не только технические, но и организационные меры защиты. В связи с этим представляется необходимым определение руководством основных направлений разработки и внедрения системы менеджмента информационной безопасности, в основе которой - создание эффективной системы менеджмента информационной безопасности (СМИБ).

Современные практики по управлению СМИБ базируются на международном стандарте ISO/IEC 27001 [13]. Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям: разработка политики безопасности; организация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процессов деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и контроль доступа; разработка и обслуживание аппаратно-программных систем; соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

В итоге решение о внедрении в систему новых инструментов и механизмов информационной безопасности и усовершенствовании имеющихся принимает руководство медицинской организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для деятельности. Использование международного стандарта ISO/IEC 27005:2011 позволяет руководству организовать данную деятельность на системной основе и защитить организацию от потери каких-либо ресурсов, а самое главное - от потери деловой репутации [12].

Анализ состояния дел в области информационной безопасности показывает, что в ведущих странах сложились вполне сформировавшиеся концепции и инфраструктура системы защиты информации, основу которой составляет весьма развитый арсенал технических средств защиты, производимых на промышленной основе, достаточно четко очерченная система концептуальных взглядов на проблему информационной безопасности, наличие значительного практического опыта. И, тем не менее, злоумышленные действия над информацией не только не уменьшаются, а имеют достаточно устойчивую тенденцию к росту.

Применение системного подхода к построению системы информационной безопасности предусматривает выделение нескольких компонентов: во-первых, это законодательная, нормативно-правовая и научная база; во-вторых, структура и задачи отдела, обеспечивающего безопасность ИТ; в-третьих, меры и методы обеспечения информационной безопасности, основанные на политике ИБ, в том числе организационные, режимные и технические; в-четвертых, программные средства обеспечения информационной безопасности. Конечной целью реализации задачи построения информационной безопасности медицинской организации является построение Системы менеджмента информационной безопасности (СМИБ). По нашему мнению, лучшей мировой практикой в области управления информационной безопасностью является стандарт ISO/IEC 27001 "Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования" разработан Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. Международный стандарт ISO/IEC 27001 определяет требования к системе управления информационной безопасностью и определяет ее как "сохранение конфиденциальности, целостности и доступности информации", кроме того, могут быть включены и другие свойства, включая достоверность, актуальность, авторство и др.

В соответствии с ISO/IEC 27001 СМИБ представляет модель для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения деловых целей, основанную на оценке риска и на принятии уровней риска организации, разработанную для эффективного рассмотрения и управления рисками. Анализ требований для защиты информационных активов и применение соответствующих средств управления, чтобы обеспечить необходимую защиту этих информационных активов, способствуют успешной реализации СМИБ. Следующие основные принципы способствуют успешной реализации СМИБ:

a) понимание необходимости системы информационной безопасности;

b) назначение ответственности за информационную безопасность;

c) соединение административных обязанностей и интересов заинтересованных лиц;

d) возрастание социальных ценностей;

e) оценка риска, определяющая соответствующие средства управления для достижения допустимых уровней риска;

f) безопасность как неотъемлемый существенный элемент информационных сетей и систем;

g) активное предупреждение и выявление инцидентов информационной безопасности;

h) обеспечение комплексного подхода к менеджменту информационной безопасности;

i) непрерывная переоценка и соответствующая модификация системы информационной безопасности (ISO/IEC 27001).

Информационная безопасность достигается посредством применения соответствующего набора средств управления, выбранного с помощью процесса управления рисками и управляемого с использованием СМИБ, включая политику, процессы, процедуры, организационные структуры, программное и аппаратное обеспечение, чтобы защитить идентифицированные информационные активы. Эти средства управления должны быть определены, реализованы, проверены, проанализированы и при необходимости улучшены, чтобы гарантировать, что уровень безопасности соответствует деловым целям организации. Средства управления безопасностью важной информации неразрывно связываются с бизнес-процессами медицинской организации.

Первым шагом на пути к построению системы должны быть определены общие положения Политики информационной безопасности медицинской организации, описаны технические, организационные требования, определен состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы, позволяющие выстроить СМИБ. В основе настоящего международного стандарта лежит методология, известная как "цикл РDСА" (Рlan - Do - Check - Act). При реализации международных требований рассматривались общие принципы и концептуальные подходы к построению системы для организации внедрения СМИБ как проекта [6]. В общем виде модель системы менеджмента информационной безопасности представлена в стандарте, однако разработку элементов системы необходимо рассматривать с позиции применимости для конкретной медицинской организации с учетом отраслевой специфики.

Для успешной реализации мероприятий по внедрению и сертификации СМИБ в первую очередь должны быть определены цели проекта в медицинской организации, например:

1) реализация требования РФ по защите персональных данных, повышение уровня безопасности всех существующих в организации информационных активов;

2) снижение и минимизация количества инцидентов, связанных с информационной безопасностью, их вероятности и последствий;

3) другие цели, связанные с минимизацией рисков информационной безопасности.

На начальной стадии проекта необязательно ставить цель получения сертификата по ISO/IEC 27001 (ISO/МЭК 27001). Требования стандарта должны быть приняты руководством в качестве инструмента для понимания основных направлений управленческих воздействий в области выбора подходов, инструментов и процедур обеспечения защиты информации.

Нами разработана модель системы менеджмента информационной безопасности, построенная на основе процессного подхода. Процессная модель разработана с учетом анализа содержания и семантики требований стандарта ГОСТ Р 27001 (рис. 1).

Рис. 1. Модель системы менеджмента информационной безопасности медицинской организации

Все процессы в данной модели разделены на классические четыре группы: процессы управления, основные, обеспечивающие процессы, а также процессы измерения, анализа и улучшения. Такая логика позволяет легко встраивать процессы обеспечения информационной безопасности в интегрированную систему менеджмента, так как СМИБ, как правило, разрабатывается в организации, имеющей систему менеджмента качества, соответствующую ISO 9001. Идентичная структура стандартов позволяет описывать и анализировать процессы СМИБ в тех же программных средах, что и процессы СМК. Для этой цели может применяться описание в виде флоучартов, описание в нотации IDEFO (контектстная диаграмма и дефрагментация с определением входов, выходов, управленческих воздействий и ресурсов).

Первым шагом в реализации данной модели должна стать разработка Политики медицинской организации в области информационной безопасности. Результаты реализации Политики отражаются в анализе данных (как правило, проводятся 1 раз в квартал) и анализе СМИБ со стороны руководства один раз в год. Необходимо реализовать процесс планирования данной деятельности, идентификации рисков, формирования реестра рисков. Обязательным процессом является разработка методик оценки рисков в соответствии с отраслевой спецификой, управление рисками. Важнейшим разделом деятельности выделен внутренний аудит, с проведения которого начинается диагностика действующей системы менеджмента информационной безопасности. Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехэтапная (трехстадийная) разработка таких мер. Первая стадия - выработка требований - включает определение состава средств информационной системы, анализ уязвимых элементов ИС, оценку угроз (выявление проблем, которые могут возникнуть при наличии уязвимых мест), анализ риска (прогноз возможных последствий, которые могут вызвать эти проблемы). Вторая стадия - определение способов защиты - включает ответы на следующие вопросы:

- Какие угрозы должны быть устранены и в какой мере?

- Какие ресурсы системы должны быть защищаемы и в какой степени?

- С помощью каких средств должна быть реализована защита?

- Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

Третья стадия - определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты. Все приемлемые подходы для обеспечения информационной безопасности должны быть реализованы с учетом принципов комплексности, непрерывности защиты, разумной достаточности, гибкости системы защиты, открытости алгоритмов и механизмов, простоты применения средств защиты.

Для поддержания системы в рабочем состоянии необходима разработка локальных нормативных актов, примерный перечень которых включает концепцию информационной безопасности, Политику информационной безопасности, Положение об обработке и защите персональных данных (ПД) работников, Положение об обработке и защите персональных данных пациентов, приказ "О медицинской информационной системе МИС", приказ "О подготовке документов об обработке персональных данных", приказ "Об утверждении Положения о конфиденциальной информации", приказ "О назначении ответственного за ведение персонифицированного учета в сфере ОМС", приказ "О классификации информационных систем персональных данных" в соответствии с Постановлением Правительства N 1119, приказ "О местах хранения материальных носителей, содержащих персональные данные", приказ "О назначении ответственных лиц за обеспечение защиты ПД", приказ "О режиме обработки и защиты персональных данных", приказ "О неразглашении персональных данных", приказ "О режиме обработки и защиты персональных данных без использования средств автоматизации", приказ "О назначении ответственного лица за организацию обработки персональных данных" и другие. Устанавливается перечень структурных подразделений и должностей сотрудников организации, допущенных к работе с персональными данными. Для осуществления информационной безопасности (и ее контроля) должны быть классифицированы информационные системы персональных данных организации и разработаны локальные акты, утверждающие следующее:

- перечень объектов защиты;

- перечень классифицированных информационных систем персональных данных;

- правила обработки персональных данных, осуществляемые без использования средств автоматизации;

- должностную инструкцию администратора информационной безопасности;

- инструкцию пользователя информационной системы персональных данных;

- инструкцию пользователя информационной системы персональных данных при возникновении внештатных ситуаций;

- инструкцию администратора информационной безопасности персональных данных;

- инструкцию администратора информационной системы персональных данных;

- порядок резервирования и восстановления работоспособности технических средств и программного обеспечения баз данных и средств защиты информации в информационных системах;

- перечень технических средств защиты информации, эксплуатационной и технической документации к ним, применяемых в организации;

- план мероприятий по обеспечению защиты персональных данных в информационных системах;

- план внутренних проверок режима защиты персональных данных в информационных системах.

Для каждой информационной системы персональных данных должны быть разработаны модели угроз. Должны быть определены состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы, определяющие область действия СМИБ. Требуются документирование процесса регистрации всех информационных активов, определение полного перечня угроз и рисков ИБ, расчет вероятности и возможных последствий рисков.

Следует отметить, что принятие СМИБ является стратегическим решением для медицинской организации, и необходимо, чтобы это решение неразрывно интегрировалось, оценивалось и обновлялось в соответствии с ее потребностями. На разработку и реализацию СМИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СМИБ должны отражать интересы и требования информационной безопасности всех заинтересованных лиц организации, включая пациентов, поставщиков, деловых партнеров, страховые компании, органы управления здравоохранением и других третьих лиц.

Таким образом, современные практики по управлению СМИБ базируются на международном стандарте ISO/IEC 27001. Выполнение требований ISO/IEC 27001:2005 позволяет медицинской организации формализовать и структурировать процессы управления информационной безопасностью по следующим направлениям: разработка политики безопасности; организация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процессов деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и контроль доступа; разработка и обслуживание аппаратно-программных систем; соответствие требованиям стандарта и соблюдение правовых норм по безопасности.

Основные ожидаемые результаты внедрения элементов системы информационной безопасности в медицинской организации: проведена идентификация основных рисков ИБ, в том числе в рамках реализации требований Федерального закона "О защите персональных данных"; идентифицированы основные угрозы, разработан комплекс мероприятий по всем направлениям защиты. Вирусные атаки отражаются в 100%, отсутствуют случаи несанкционированного доступа, заблокирована несанкционированная рассылка, отсутствуют случаи атак, вмешательства в работу программ, неисправности или поломки оборудования. Основная выгода внедрения СМИБ - выявление наиболее опасных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности. Проблемы IT-безопасности должны выйти на высший уровень управления, позволяя всесторонне оценивать IT-риски и заблаговременно их минимизировать.

Литература

1. Авксентьева М.В., Сура М.В. Клинико-экономический анализ деятельности медицинской организации / Главный врач. - 2011. - N 2. - С. 52-56.

2. Баланцев Г.А., Никишова Е.И., Перхин Д.В., Марьяндышев А.О. Оценка эффективности медицинской информационной системы с точки зрения пользователя // Врач и информационные технологии. - 2012. - N 4. - С. 22-27.

3. Берсенева Е.А., Седов А.А., Голухов Г.Н. Создание автоматизированной системы контроля функций сотрудников и оптимизации организационно-штатной структуры ЛПУ // Врач и информационные технологии. - 2012. - N 3. - С. 25-30.

4. Дубровин А.А., Жилина Н.М. Проблемы и пути решения организации доступа населения к информационным ресурсам в лечебно-профилактических учреждениях при внедрении комплексной медицинской информационной системы при внедрении системы записи к врачу через Интернет // Врач и информационные технологии. - 2012. - N 4. - С. 57-61.

5. Дудин М.Н., Лясников Н.В. Совершенствование работы медицинских учреждений путем развития информационно-коммуникационных технологий / Главный врач. - 2011. - N 2. - С. 58-63.

6. Князюк Н.Ф., Кицул И.С. Методология построения интегрированной системы менеджмента медицинских организаций: монография. - Москва: Издательский дом "Менеджер здравоохранения", 2013. - 312 с.

7. Кузнецов П.П. Автоматизация управленческого учета, анализа и планирования деятельности ЛПУ // Здравоохранение. - 2011. - N 6. - С. 18-23.

8. Сарбаев Р.С. Информационное обеспечение системы управления здравоохранением/вопросы экономики и управления для руководителей здравоохранения. - 2010. - N 4 (103). - С. 24-25.

9. Семенов В.Ю., Гуров А.Н., Андреева И.Л. Применение информационной системы для оценки эффективности внедрения стандартов медицинской помощи в ходе реализации Программы модернизации здравоохранения Московской области // Врач и информационные технологии. - 2012. - N 1. - С. 17-23.

10. Столбов А.П. Аннотированный перечень организационно-распорядительных документов по защите персональных данных в медицинском учреждении // Менеджер здравоохранения. - 2010. - N 2. - С. 36-52.

11. Столбов А.П. Об организации обработки персональных данных в медицинских учреждениях // Менеджер здравоохранения. - 2008. - N 4. - С. 29-32.

12. Чесалов A.M. Методология внедрения международного стандарта ISO/IEC 27001:2005 при построении корпоративной системы управления информационной безопасностью // CIО. - 2007. - N 2. - С. 18-22.

13. ISO/IEC 27001:2005. Информационные технологии. Методы обеспечения безопасности - Системы управления информационной безопасностью. Требования. - 2005. - 36 с.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.