Безопасности в медицинской информационной системе

Гусев Александр Владимирович
К.т.н., старший инженер программист
г. Кондопога Республики Карелия

Аннотация: В обзоре приводятся основные понятия, требования и классификация мер, реализация которых в МИС позволяет обеспечить необходимый уровень защищенности и безопасности данных и программ.


Медицинская информационная система (МИС) отличается от других программных продуктов, прежде всего, тем, что в ней хранится и обрабатывается персональная и конфиденциальная информация. В связи с этим к МИС выдвигаются повышенные требования к достоверности и ограничениям доступа к информации, юридической ответственности, технических мер защиты данных и программ МИС. Любой пользователь ЛПУ, получающий доступ к МИС, несет полную (моральную, административную и уголовную) ответственность за конфиденциальность информации, которую он вносит, использует или передает другим пользователям.

С юридической точки зрения медицинские сведения относятся к информации, составляющей профессиональную тайну. Таким образом, эти сведения являются информацией ограниченного доступа, их охрана обеспечивается действующим российским законодательством. В соответствии с этим в МИС в обязательном порядке должен быть реализован ряд мер по обеспечению безопасности, в противном случае использование МИС является неправомерным и ответственность за их применение, главным образом, лежит на руководителе ЛПУ.

На практике выполнение указанных требований должно осуществляться в МИС собственной системой безопасности, имеющей наивысший приоритет перед любыми другими процессами в МИС. Иными словами, в МИС не должно быть программных или аппаратных модулей, которые бы могли получить доступ к данным или программам МИС в обход системы безопасности. Основная задача системы безопасности — это одновременное обеспечение защиты информации и программ, под которой понимается совокупность мероприятий, методов и средств, обеспечивающих решение следующих основных задач:
  • обеспечение целостности информации;
  • исключение несанкционированного доступа к ресурсам системы и хранящимся в ней программам и данным.

Реализация системы безопасности в МИС должна носить комплексный характер, она должна проводиться системно на всех этапах жизнедеятельности МИС: от проектирования и разработки до внедрении и эксплуатации, перекрывать все известные виды угроз безопасности, быть ориентированной на тактическое опережение угроз, соответствовать действующему законодательству и всем подведомственным актам системы здравоохранения, выдвигать только обоснованные ограничения на функциональные возможности и производительность МИС. С точки зрения архитектуры система безопасности должна функционировать на всех этапах обработки и передачи информации – сервере, каналах связи и конечных устройствах (компьютерах пользователей). При этом применяемые методы также должны быть реализованы на всей логической цепочке обеспечения безопасности: предупреждения, обнаружения, оповещения ответственных лиц, нейтрализации или блокирования, протоколирования, восстановления нормальной работы.

Исходя из указанных требований для обеспечения защиты информации и программ МИС должны применяться следующие средства:
  • правовые;
  • организационно-административные;
  • технические (аппаратно-программные) и др.


Правовые средства препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей. Организационно-административные средства регламентируют процессы функционирования МИС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой и пользователей с администраторами системы. Технические средства выполняют следующие функции защиты: создание препятствий на возможных путях проникновения и доступа потенциальных нарушителей к МИС, идентификацию и аутентификацию пользователей, разграничение прав доступа к ресурсам, регистрацию событий, криптографическую защиту информации.

На сегодня правовые средства, включая действующие законы, приказы и другие нормативные акты, рассматривают понятие «конфиденциальной информации», которая определяется как документированная информация, и доступ к которой ограничивается в соответствии с законодательством РФ. При этом в МИС хранятся персональные данные (это информация о ФИО пациенте, его дате рождения, месте жительства) и конфиденциальные данные (это записи о посещениях врачей, диагнозы и любая другая медицинская информация), которые составляют врачебную тайну. В соответствии с законом владельцем документов в МИС является ЛПУ или другое лицо, на чьи средства МИС была приобретена, а не пациент. Пользователи ЛПУ в соответствии с законом и своими функциональными обязанностями не обязаны обосновывать перед владельцами информационных ресурсов и пациентами необходимость их получения, за исключением информации с ограниченным доступом. При этом МИС обязана предоставлять врачам и другим пользователям необходимую им информацию в соответствии с их функциональными обязанностями и не должна препятствовать в получении этой информации. Вместе с тем закон защищает право граждан о неразглашении информации о состоянии их здоровья. Для этого доступ пользователей к системам, содержащим такую информацию, должен быть авторизованным. При этом для каждого пользователя должен быть определен уровень доступа, т. е. очерчен круг функций и информационных ресурсов, к которым он получает доступ. Законом определено, что электронная цифровая подпись (ЭЦП) может выступать как средство защиты информации от несанкционированного искажения, подмены и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью МИС, может подтверждаться ЭЦП. Юридическая сила ЭЦП признается при наличии в МИС программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Другими словами, на сегодня наличие ЭЦП в МИС может рассматриваться как средство защиты от подделки или несанкционированного изменения информации, но юридическую силу ЭЦП принимает только, если она сертифицирована.

Программно-технические меры системы безопасности МИС должны предоставлять средства распределения прав доступа, гарантируя возможность получения доступа пользователя только к той информации и программам, которые необходимы для выполнения функциональных обязанностей. Эти средства традиционно использую понятия
  • аутентификации пользователя (технологии, подтверждающей, что реальный пользователь и персона, от чьего имени открывается доступ – одно и тоже лицо)
  • групп доступа (логического объединения пользователей в одну группу, для которой система предоставляет одинаковые права)
  • права доступа (различия в возможностях работы с МИС, например – чтение информации, чтение и изменение данных, удаление документов или даже модификацию программного кода МИС)
  • списка контроля доступа (таблица, объединяющая группы доступа и сопоставленные им уровни прав для конкретного объекта МИС).
Технология распределения прав доступа неизбежно допускает, что в отношениях «Пользователь — Система — Информация» имеется некий суперпользователь (чаще всего – администратор МИС), который имеет максимально возможные права доступа, главное из которых — возможность предоставления или ограничения доступа всех остальных к системе.

Особенность медицинской предметной области заставила нас в разрабатываемой медицинской информационной системе применить 2-х уровневую модель групп доступа, условно изображенную на рисунке:


Совместное применение 2 видов групп, одна из которых учитывает уровни прав доступа, а другая – медицинскую специальность, которые обрабатываются в Access Control List (ACL – списках контроля доступа) абсолютно всех объектов МИС от сервера до отдельно взятого поля электронного документа в БД МИС, позволяют обеспечить одновременно и максимально защищенность системы, и максимально простую и эффективную в эксплуатации систему безопасности.

Алгоритм работы технологии распределения прав доступа в МИС выглядит следующим образом:
  • При старте МИС выполняется аутентификация пользователя. При этом в зависимости от настроек аутентификация может выполняться только локально (пароль для проверки, пусть и зашифрованный, не передается по сети) или в синхронизации с сервером (по сети передается зашифрованный пароль, который проверяется сервером).
  • В момент первого после аутентификации обращения к серверу создается т.н. сеанс связи с сервером. Во время инициализации сеанса система определяет, в какие группы данный пользователь входит и однозначно ассоциирует пользователя с этими группами. Все дальнейшие действия ИС Кондопога, включая открытие БД, отображение ее элементов дизайна или других программных элементов, а также отображение документов в этих БД осуществляться только исходя из текущего списка групп доступа, ассоциированных с данным пользователем в данную сессию связи с сервером. Для этого в каждый объект МИС встроен ACL, в котором хранится список групп доступа и сопоставленный каждой группе уровень прав доступа.
  • При последовательном запросе клиентом объектов МИС на стороне сервера осуществляется проверка на наличие или отсутствие необходимых прав доступа к объекту. Если ни одна из групп пользователя не включена в объект, то сервер не предоставляет клиенту информации о наличии и свойствах объекта, т.о. этот объект становиться для клиентской части МИС невидимым. Учитывая высший приоритет системы безопасности, несанкционированный доступ к такому объекту (серверу, БД, представлению, программе, документу или отдельно взятому полю) становиться теоретически и практически невозможным.
  • При этом в системе на уровне ядра предусмотрены функции протоколирования несанкционированного доступа и программной обработки исключительных ситуаций в коде системы, которые одновременно позволяют администратору видеть все подозрительные с точки зрения безопасности запросы и, с другой стороны, обеспечивают требуемый уровень стабильности и производительности работы приложений системы.

Описанные технические, нормативные и иные средства обеспечения безопасности позволяют медицинской информационной системе обеспечивать весь необходимый комплекс мер защиты информации и программ, что является необходимым условием пригодности МИС к ее эксплуатации в ЛПУ на современном этапе с юридической точки зрения.