Научная электронная библиотека

Монографии, изданные в издательстве Российской Академии Естествознания

АВТОМАТИЗАЦИЯ МЕДИЦИНСКОЙ ЭКСПЕРТИЗЫ НАЗНАЧЕНИЯ ЛЬГОТНЫХ ЛЕКАРСТВ

Кошкаров А. А., Рубцова И. Т., Семенов А. Б., Халафян А. А.,

1.3. Анализ систем экспертизы льготных рецептов и защиты информации

В России и на территории Краснодарского края планируют обеспечить функционирование единого программного продукта с возможностями выписки, отпуска, управления товарными запасами и контроля реализации программ льготного лекарственного обеспечения (ЛЛО) [33; 56]. В ГБУЗ МИАЦ создан Процессинговый центр ЛЛО (ПЦ), который полностью готов для работы с электронными рецептами [109]. Схема электронного рецепта отображена на рис. 1.4.

Показаны требования, согласно которым электронным рецептом (ePrescription) является любая система, позволяющая выписывающему рецепт медицинскому специалисту, взаимодействовать (передавать информацию) по электронным каналам с другим специалистом, осуществляющим выдачу лекарственного средства, по вопросам связанным с выдачей медицинских препаратов.

Для подключения медицинских и аптечных организаций в единую систему электронного документооборота ЛЛО населения Краснодарского края необходимо обеспечить соблюдение регламента информационного взаимодействия с ПЦ. На сегодняшний день обеспечен доступ с учетом информационной безопасности с применением технологии «тонкий клиент» для всех пользователей защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края (сеть ViPNet № 1988) – 4 096 рабочих мест, в т.ч. медицинские, аптечные организации и министерство здравоохранения Краснодарского края [56]. Ведутся работы по интеграции существующих информационных систем с ПЦ [26].

Рис. 1.4. Электронный рецепт

Формирование и ведение регистра региональных льготных категорий граждан осуществляют амбулаторно-поликлинические учреждения муниципальных образований края. Регистр представляет собой централизованную информационную систему с обеспечением доступа к ней всех участников взаимодействия при поддержании в актуальном состоянии Регистра. Участниками взаимодействия являются [99]:

– министерство здравоохранения Краснодарского края (МЗ КК);

– ГБУЗ МИАЦ;

– органы управления здравоохранением муниципальных образований Краснодарского края;

– медицинские организации, осуществляющие амбулаторно-поликлиническую помощь прикрепленному населению;

– аптечные организации.

ГБУЗ МИАЦ осуществляет администрирование системы поддержания Регистра в актуальном состоянии, подготовку аналитических и статистических отчетных форм по Регистру на уровне Краснодарского края. ПЦ позволяет автоматизировать выписку льготных рецептов в соответствии с действующим законодательством по региональным программам лекарственного обеспечения за счет средств бюджета Краснодарского края, в том числе обеспечить [11]:

– контроль и проверку вводимых данных;

– централизованное ведение Регистра;

– предоставление Регистра всем участникам;

– подготовку аналитической информации по Регистру и льготному лекарственному обеспечению в целом.

Для более оперативного перехода медицинских организаций края к ведению Регистра в ПЦ в ГБУЗ МИАЦ выполнено [11]:

– предоставлен доступ к ПЦ посредством Web-интерфейса в защищенной сети ViPNet № 1988 для всех участников;

– загружены в ПЦ сведения о лицах, включенных в Регистр на основе прикрепления к медицинской организации [101];

– созданы инструкции по ведению Регистра посредством ПЦ;

– обеспечена возможность дополнительной загрузки информации в автоматическом режиме по заданному формату;

– разработан интеграционный профиль для взаимодействия со сторонними информационными системами.

Результаты проекта показали, что необходим комплексный подход с учетом не только региональных, но и федеральных программ ЛЛО с централизацией управления в министерстве здравоохранения Краснодарского края.

В рамках исполнения Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» [130] МЗ КК и ГБУЗ МИАЦ реализуют мероприятия по переводу в электронный вид государственных услуг по ЛЛО населения в Краснодарском крае. В соответствие с требованиями «Дорожной карты» по развитию Единой государственной информационной системы в сфере здравоохранения, утвержденной Министерством здравоохранения Российской Федерации [74], рецепты, выписанные в рамках ЛЛО, необходимо передавать в аптечные организации в электронном виде. Аптечные организации в свою очередь должны передавать в медицинские организации в электронном виде актуальную информацию о поставках и наличии товаров, а также информацию об обеспечении рецептов.

Уполномоченным органам власти субъектов Российской Федерации в сфере здравоохранения по итогам заседания Коллегии «Развитие информационных систем здравоохранения субъектов Российской Федерации» от 27 мая 2015 г., под председательством Министра здравоохранения Российской Федерации В.И. Скворцовой [25], необходимо обеспечить внедрение системы ЛЛО. При этом единая система электронного документооборота ЛЛО населения Краснодарского края в понятиях «электронного здравоохранения (eHealth)» хотя и не относится сама по себе к дистанционным технологиям оказания медицинской помощи, однако играет интерактивную роль, обеспечивая единство процессов электронного обмена информацией между пациентом и медицинским специалистом.

Одним из способов защиты персональных данных от раскрытия, модификации и навязывания при их передаче по каналам связи, имеющим выход за пределы контролируемой зоны, является применение в соответствии с законодательством РФ средств криптографической защиты информации [69; 70]. В соответствии с «Методическими рекомендациями медицинским организациям по обеспечению криптографической защиты каналов при взаимодействии в рамках единой государственной информационной системы в сфере здравоохранения» Министерства здравоохранения Российской Федерации для организации взаимодействия рекомендуют использовать отдельную VPN-сеть региона на базе технологии ViPNet [77].

ГБУЗ МИАЦ в соответствии с приказом МЗ КК от 24 апреля 2014 г. № 1920 «Об утверждении Порядка информационного взаимодействия в защищённой корпоративной сети передачи данных МЗ КК» исполняет функциональные обязанности администратора по организации и функционированию системы информационной безопасности электронного документооборота в защищенной сети передачи данных МЗ КК (сеть ViPNet № 1988) [102]. Для подключения в сеть ViPNet № 1988 медицинским организациям края согласно утвержденному порядку необходимо [102]:

1. Заключить Соглашение о включении абонента в сеть ViPNet № 1988.

2. Подать заявление на регистрацию рабочей станции и пользователя в сети ViPNet № 1988.

3. Предоставить акт готовности к эксплуатации автоматизированного рабочего места сети ViPNet № 1988.

4. Приобрести необходимые программные средства защиты информации и установить их самостоятельно или обратиться в организацию-интегратор для проведения соответствующих работ.

5. Установить необходимые связи с абонентскими пунктами (информационными ресурсами) в сети ViPNet № 1988.

После подключения медицинской организации будут доступны информационные ресурсы в рамках сети ViPNet № 1988 в соответствии с уровнем доступа. Одним из таких ресурсов является ПЦ ЛЛО Краснодарского края. Активное подключение аптечных организаций к ресурсам сети ViPNet № 1988 в рамках ЛЛО началось в 2015 году. В отличие от медицинских организаций, подключаемых как абонентские пункты сети ViPNet № 1988, для аптечных организаций стало эффективным использование межсетевого взаимодействия. Это обусловлено тем, что в крупных аптечных сетях края используют защищенную корпоративную сеть передачи данных (сеть ViPNet № 1662), администратором которой является организация-интегратор общество с ограниченной ответственностью «Гарренд» [69]. Менее крупные аптечные организации ранее не использовали никаких защищенных сетей.

Таким образом, учитывая методические рекомендации об использовании отдельной VPN-сети на базе технологии ViPNet [77], для подключения к ПЦ медицинские организации используют абонентские пункты сети ViPNet № 1988, а аптечные организации – сети ViPNet № 1662. В свою очередь между сетями ViPNet № 1988 и № 1662 настроено межсетевое взаимодействие [69].

Для проведения автоматизированной экспертизы реестров рецептов используют программный комплекс «ТрастМед: Центр обработки данных» (ТМ:ЦОД), разработчиком является компания SofTrust г. Белгород. ТМ:ЦОД – ядро комплекса, функционирующее в центрах обработки данных. Отвечает за централизованную обработку данных и информационное взаимодействие участников программы обеспечения необходимыми лекарственными средствами (ОНЛС). Окно главного меню программного комплекса ТМ:ЦОД показано на рис. 1.5.

ТМ:ЦОД позволяет использовать единую нормативно-справочной информации, вести обмен данными, учет сведений о выписанных рецептах, проводить аналитическую обработку данных. На рис. 1.6 изображена поэтапная циркуляция информации в ИС.

Рис. 1.5. Главное меню ТМ:ЦОД

Рис. 1.6. Информационная система

Задача состоит в том, чтобы обеспечить сохранность данных на всех трёх этапах:

– защитить каналы связи (этап 1, 2, 3);

– провести аутентификацию сторон, устанавливающих связь (этап 1, 2);

– обнаружить нарушения целостности данных (этап 1, 2);

– обеспечить защиту технических средств и помещений, в которых ведется обработка конфиденциальной информации, программных продуктов (этап 1, 2);

– выполнить организационно-технические мероприятия для обеспечения сохранности конфиденциальных данных (этап 1, 2, 3).

Текущая информационная система автоматизированной экспертизы рецептов (ТМ:ЦОД) в своей работе использует информацию, имеющую конфиденциальный характер, персональные данные льготных категорий граждан. Система защиты основана на трёх принципах обработки информации, характеризующих систему защиты (рис. 1.7).

Рис. 1.7. Принципы защиты

При планировании мер по обеспечению информационной безопасности необходимо руководствоваться международными стандартами по защите информации. Наиболее распространенным и достаточно удобным инструментом построения системы обеспечения корпоративной информационной безопасности являются стандарты ISO серии 27000, ИСО/МЭК 17799. Это стандарты с номерами 27001, 27002 (современное развитие стандартов BS 7799), 27003–27008 и выше. Методологию, основанную на данных международных стандартах в сочетании со стандартом Control Objectives for Information and related Technologies (COBIT) и лучшими практиками ITIL.

Все процессы, связанные с работой ИС, приведены в соответствие с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» во избежание появления множества рисков, вот некоторые из них:

– временное приостановление деятельности компании, при выявлении нарушений по обработке персональных данных, до момента устранения нарушений;

– лишение лицензии на основной вид деятельности;

– потеря доверия у партнёров;

– привлечение к ответственности должностных лиц компании (административная, уголовная и другие виды ответственности);

– финансовые потери.

Следующее направление, которое охватывает система защиты – проблема «инсайдерства». Это угроза, которой уделяют наибольшее внимание специалисты по информационной безопасности во всём мире. Инсайдер (англ. insider) – член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике [149, 288]. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер – это член группы, обладающий информацией, имеющейся только у этой группы. В контексте рассматриваемой работы, инсайдером принято называть сотрудника компании, занимающегося сбором коммерческой информации с целью её продажи (передачи) третьим лицам. Либо сотрудник, осуществляющий конкурентную разведку в интересах организаций – конкурентов. Следствием данной угрозы, является проблема разграничения доступа к ресурсам ИС.

Другим направлением, охваченным системой защиты, является проблема человеческого фактора, т.е. рисков (угроз), связанных с невнимательностью или неопытностью всех лиц, имеющих отношение к работе ИС. Риски, связанные с утерей (хищением) носителей информации. Угрозы, вызванные работой вредоносных программ. Это грозит нарушением принципов конфиденциальности, доступности и целостности информации. Риск непрерывности функционирования ТМ:ЦОД (сбои, отказы и ошибки в работе программного, аппаратного обеспечения и проч.). Угроза фальсификации данных поступающих в ТМ:ЦОД для обработки. Подмена выходных данных.

В качестве средств защиты информации используют: ViPNet Client (Клиент), Dallas Lock 8.0-K, антивирусный продукт «Kaspersky Endpoint Security». Перечисленные программные продукты имеют сертификаты соответствия ФСТЭК России и ФСБ, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Использование данных средств защиты информации позволяет привести автоматизированные системы в соответствие требованиям законов РФ, стандартов и руководящих документов по защите конфиденциальной информации.

ViPNet Client (Клиент) – это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным программным обеспечением функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования [155].

Для защиты от несанкционированного доступа применяют программное средство защиты информации Dallas Lock 8.0-K, которое обеспечивает [150]:

1. Защиту конфиденциальной информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах, серверах, работающих как автономно, так и в составе локальной вычислительной сети.

2. Дискреционный принцип разграничения доступа к информационным ресурсам и подключаемым устройствам в соответствии со списками пользователей и их правами доступа (матрица доступа).

3. Применение средств аппаратной (двухфакторной) аутентификации с использованием аппаратных идентификаторов (Flash-дисков и токенов).

4. Аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий.

5. Контроль целостности файловой системы, программно-аппаратной среды и реестра.

Применяемый антивирусный продукт «Kaspersky Endpoint Security» реализует следующие функции защиты информации [67]:

1. Многоуровневая защита от кибератак и вредоносного программного обеспечения.

2. Консоль управления Kaspersky Security Center, которая обеспечивает централизованный контроль за всеми защитными решениями «Лаборатории Касперского» для защиты рабочих мест и серверов.

3. Контроль устройств позволяет определить внешние устройства, которым разрешен и запрещен доступ в корпоративную сеть.

4. Веб-Контроль позволяет настроить политики доступа к интернету и отслеживать его использование работниками.

Несмотря на имеющиеся успехи, в существующей системе защиты информации еще не идентифицированы актуальные угрозы информационной безопасности. Таким образом, необходима модель идентификации угроз безопасности для информационной системы льготного лекарственного обеспечения Краснодарского края, а также рекомендации по предотвращению их реализации.

Необходимо заметить, что в работе обозначенных выше программ ЛЛО – ПЦ, Регистр региональных льготников, ТМ:ЦОД – имеются аспекты, требующие увеличения эффективности. Невозможность учета аналитических заключений экспертов о причинах и последствиях выявленных дефектов при выписке рецептов приводит к несовершенству дальнейшего планирования МЭК и, как следствие, недостаточному качеству анализа результатов экспертиз. Исходя из этого, требуются дальнейшие разработки в данной области.