В медицинской информационной системе AKSi-клиника/Амулет обеспечена безопасность персональных данных пациентов

Возможности подсистемы безопасности могут быть расширены с помощью дополнительно подключаемых средств. Так, идентификация пользователя медицинской информационной системы (МИС) AKSi-клиника/Амулет осуществляется доменным контроллером сертифицированной версии операционной системы Microsoft Windows. Обычно пользователи вводят логин и пароль, однако такой подход неприемлем в информационных системах медицинских учреждений, безопасность которых в соответствии с Федеральным законом «о персональных данных» и подзаконными актами должна обеспечиваться по высшему классу (К1).

Для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзора) необходим более надежный механизм, и соблюдение этих требований в МИС AKSi-клиника/Амулет реализуется возможностью подключения аппаратных идентификаторов — например, сертифицированных ФСТЭК и ФСБ токенов, в защищенной энергонезависимой памяти которых размещается идентификационная информация пользователей. Еще один вариант — применение сертифицированных аппаратных средств защиты от несанкционированного доступа, которые наряду с идентификацией и аутентификацией пользователя контролируют целостность файловой системы, программной среды, системного реестра, аппаратной конфигурации, а также разграничивают доступ к портам и съемным носителям.

Безопасность персональных данных обеспечивается и при их передаче по каналам связи между рабочей станцией пользователя, сервером приложений и системой управления базами данных (СУБД). С этой целью в медицинской информационной системе АКСИМЕД предусмотрено подключение сертифицированных ФСБ криптосервиспровайдеров (Cryptographic Service Provider — CSP), реализующих отечественный алгоритм шифрования ГОСТ 28147-89.

Следующий этап обработки персональных данных — обращение пользователя к СУБД. В МИС AKSi-клиника/Амулет возможно применение сертифицированных ФСТЭК версий этих продуктов — таких, например, как Oracle Database или Microsoft SQL Server. С использованием внутренних механизмов этих СУБД и в соответствии с ролевой схемой права доступа могут назначаться как конкретному пользователю, так и группам пользователей (ролям), а сам доступ регламентируется с точностью до отдельной записи СУБД.

Важнейшим компонентом подсистемы безопасности персональных данных в МИС AKSi-офис является сервис мониторинга и аудита. С его помощью администратор безопасности может контролировать среду, из которой разрешен доступ к ресурсам СУБД (IP-адрес компьютера, типы приложений и т.д.), осуществлять детальный аудит операций над данными и изменений прав пользователей, а также отслеживать и пресекать попытки обращений к защищаемым данным пользователей, не имеющих соответствующих прав.

Разработку подсистемы безопасности персональных данных МИС AKSi-клиника/Амулет компания АКСИМЕД осуществила на основании лицензий ФСТЭК и ФСБ, предоставляющих право вести деятельность в сфере защиты информации. Эти лицензии также позволяют АКСИМЕД осуществлять мероприятия и оказывать услуги по защите конфиденциальной информации, осуществлять распространение шифровальных (криптографических) средств и проводить их техническое обслуживание. Все это дает возможность компании АКСИМЕД оказывать лечебно-профилактическим учреждениям полный комплекс услуг по реализации режима защиты персональных данных, безопасность которых обеспечивается в том числе и в самой медицинской информационной системе AKSi-клиника/Амулет.

Юрий Логачев, президент компании АКСИМЕД: «С 1 января 2010 года вступают в полную силу все положения Федерального закона № 152-ФЗ “О персональных данных”, и у медицинских учреждений остается меньше двух месяцев, чтобы привести свои информационные системы в соответствие с требованиями этого закона и подзаконных актов к нему. Компания АКСИМЕД первой из фирм-разработчиков медицинских информационных систем получила лицензии ФСБ и ФСТЭК на деятельность в сфере защиты информации, подписала партнерские соглашения с ведущими российскими компаниями в области информационной безопасности, и на этой основе предоставляет лечебно-профилактическим учреждениям полный комплекс услуг по реализации режима защиты персональных данных. Появление выделенной подсистемы безопасности персональных данных в медицинской информационной системе AKSi-клиника/Амулет — еще один важный шаг в этом направлении».