Научная электронная библиотека
Монографии, изданные в издательстве Российской Академии Естествознания

АВТОМАТИЗАЦИЯ МЕДИЦИНСКОЙ ЭКСПЕРТИЗЫ НАЗНАЧЕНИЯ ЛЬГОТНЫХ ЛЕКАРСТВ

Кошкаров А. А., Рубцова И. Т., Семенов А. Б., Халафян А. А.,

1.3. Анализ систем экспертизы льготных рецептов и защиты информации

В России и на территории Краснодарского края планируют обеспечить функционирование единого программного продукта с возможностями выписки, отпуска, управления товарными запасами и контроля реализации программ льготного лекарственного обеспечения (ЛЛО) [33; 56]. В ГБУЗ МИАЦ создан Процессинговый центр ЛЛО (ПЦ), который полностью готов для работы с электронными рецептами [109]. Схема электронного рецепта отображена на рис. 1.4.

Показаны требования, согласно которым электронным рецептом (ePrescription) является любая система, позволяющая выписывающему рецепт медицинскому специалисту, взаимодействовать (передавать информацию) по электронным каналам с другим специалистом, осуществляющим выдачу лекарственного средства, по вопросам связанным с выдачей медицинских препаратов.

Для подключения медицинских и аптечных организаций в единую систему электронного документооборота ЛЛО населения Краснодарского края необходимо обеспечить соблюдение регламента информационного взаимодействия с ПЦ. На сегодняшний день обеспечен доступ с учетом информационной безопасности с применением технологии «тонкий клиент» для всех пользователей защищенной корпоративной сети передачи данных министерства здравоохранения Краснодарского края (сеть ViPNet № 1988) – 4 096 рабочих мест, в т.ч. медицинские, аптечные организации и министерство здравоохранения Краснодарского края [56]. Ведутся работы по интеграции существующих информационных систем с ПЦ [26].

1_4.wmf

Рис. 1.4. Электронный рецепт

Формирование и ведение регистра региональных льготных категорий граждан осуществляют амбулаторно-поликлинические учреждения муниципальных образований края. Регистр представляет собой централизованную информационную систему с обеспечением доступа к ней всех участников взаимодействия при поддержании в актуальном состоянии Регистра. Участниками взаимодействия являются [99]:

– министерство здравоохранения Краснодарского края (МЗ КК);

– ГБУЗ МИАЦ;

– органы управления здравоохранением муниципальных образований Краснодарского края;

– медицинские организации, осуществляющие амбулаторно-поликлиническую помощь прикрепленному населению;

– аптечные организации.

ГБУЗ МИАЦ осуществляет администрирование системы поддержания Регистра в актуальном состоянии, подготовку аналитических и статистических отчетных форм по Регистру на уровне Краснодарского края. ПЦ позволяет автоматизировать выписку льготных рецептов в соответствии с действующим законодательством по региональным программам лекарственного обеспечения за счет средств бюджета Краснодарского края, в том числе обеспечить [11]:

– контроль и проверку вводимых данных;

– централизованное ведение Регистра;

– предоставление Регистра всем участникам;

– подготовку аналитической информации по Регистру и льготному лекарственному обеспечению в целом.

Для более оперативного перехода медицинских организаций края к ведению Регистра в ПЦ в ГБУЗ МИАЦ выполнено [11]:

– предоставлен доступ к ПЦ посредством Web-интерфейса в защищенной сети ViPNet № 1988 для всех участников;

– загружены в ПЦ сведения о лицах, включенных в Регистр на основе прикрепления к медицинской организации [101];

– созданы инструкции по ведению Регистра посредством ПЦ;

– обеспечена возможность дополнительной загрузки информации в автоматическом режиме по заданному формату;

– разработан интеграционный профиль для взаимодействия со сторонними информационными системами.

Результаты проекта показали, что необходим комплексный подход с учетом не только региональных, но и федеральных программ ЛЛО с централизацией управления в министерстве здравоохранения Краснодарского края.

В рамках исполнения Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» [130] МЗ КК и ГБУЗ МИАЦ реализуют мероприятия по переводу в электронный вид государственных услуг по ЛЛО населения в Краснодарском крае. В соответствие с требованиями «Дорожной карты» по развитию Единой государственной информационной системы в сфере здравоохранения, утвержденной Министерством здравоохранения Российской Федерации [74], рецепты, выписанные в рамках ЛЛО, необходимо передавать в аптечные организации в электронном виде. Аптечные организации в свою очередь должны передавать в медицинские организации в электронном виде актуальную информацию о поставках и наличии товаров, а также информацию об обеспечении рецептов.

Уполномоченным органам власти субъектов Российской Федерации в сфере здравоохранения по итогам заседания Коллегии «Развитие информационных систем здравоохранения субъектов Российской Федерации» от 27 мая 2015 г., под председательством Министра здравоохранения Российской Федерации В.И. Скворцовой [25], необходимо обеспечить внедрение системы ЛЛО. При этом единая система электронного документооборота ЛЛО населения Краснодарского края в понятиях «электронного здравоохранения (eHealth)» хотя и не относится сама по себе к дистанционным технологиям оказания медицинской помощи, однако играет интерактивную роль, обеспечивая единство процессов электронного обмена информацией между пациентом и медицинским специалистом.

Одним из способов защиты персональных данных от раскрытия, модификации и навязывания при их передаче по каналам связи, имеющим выход за пределы контролируемой зоны, является применение в соответствии с законодательством РФ средств криптографической защиты информации [69; 70]. В соответствии с «Методическими рекомендациями медицинским организациям по обеспечению криптографической защиты каналов при взаимодействии в рамках единой государственной информационной системы в сфере здравоохранения» Министерства здравоохранения Российской Федерации для организации взаимодействия рекомендуют использовать отдельную VPN-сеть региона на базе технологии ViPNet [77].

ГБУЗ МИАЦ в соответствии с приказом МЗ КК от 24 апреля 2014 г. № 1920 «Об утверждении Порядка информационного взаимодействия в защищённой корпоративной сети передачи данных МЗ КК» исполняет функциональные обязанности администратора по организации и функционированию системы информационной безопасности электронного документооборота в защищенной сети передачи данных МЗ КК (сеть ViPNet № 1988) [102]. Для подключения в сеть ViPNet № 1988 медицинским организациям края согласно утвержденному порядку необходимо [102]:

1. Заключить Соглашение о включении абонента в сеть ViPNet № 1988.

2. Подать заявление на регистрацию рабочей станции и пользователя в сети ViPNet № 1988.

3. Предоставить акт готовности к эксплуатации автоматизированного рабочего места сети ViPNet № 1988.

4. Приобрести необходимые программные средства защиты информации и установить их самостоятельно или обратиться в организацию-интегратор для проведения соответствующих работ.

5. Установить необходимые связи с абонентскими пунктами (информационными ресурсами) в сети ViPNet № 1988.

После подключения медицинской организации будут доступны информационные ресурсы в рамках сети ViPNet № 1988 в соответствии с уровнем доступа. Одним из таких ресурсов является ПЦ ЛЛО Краснодарского края. Активное подключение аптечных организаций к ресурсам сети ViPNet № 1988 в рамках ЛЛО началось в 2015 году. В отличие от медицинских организаций, подключаемых как абонентские пункты сети ViPNet № 1988, для аптечных организаций стало эффективным использование межсетевого взаимодействия. Это обусловлено тем, что в крупных аптечных сетях края используют защищенную корпоративную сеть передачи данных (сеть ViPNet № 1662), администратором которой является организация-интегратор общество с ограниченной ответственностью «Гарренд» [69]. Менее крупные аптечные организации ранее не использовали никаких защищенных сетей.

Таким образом, учитывая методические рекомендации об использовании отдельной VPN-сети на базе технологии ViPNet [77], для подключения к ПЦ медицинские организации используют абонентские пункты сети ViPNet № 1988, а аптечные организации – сети ViPNet № 1662. В свою очередь между сетями ViPNet № 1988 и № 1662 настроено межсетевое взаимодействие [69].

Для проведения автоматизированной экспертизы реестров рецептов используют программный комплекс «ТрастМед: Центр обработки данных» (ТМ:ЦОД), разработчиком является компания SofTrust г. Белгород. ТМ:ЦОД – ядро комплекса, функционирующее в центрах обработки данных. Отвечает за централизованную обработку данных и информационное взаимодействие участников программы обеспечения необходимыми лекарственными средствами (ОНЛС). Окно главного меню программного комплекса ТМ:ЦОД показано на рис. 1.5.

ТМ:ЦОД позволяет использовать единую нормативно-справочной информации, вести обмен данными, учет сведений о выписанных рецептах, проводить аналитическую обработку данных. На рис. 1.6 изображена поэтапная циркуляция информации в ИС.

1_5.tif

Рис. 1.5. Главное меню ТМ:ЦОД

1_6.wmf

Рис. 1.6. Информационная система

Задача состоит в том, чтобы обеспечить сохранность данных на всех трёх этапах:

– защитить каналы связи (этап 1, 2, 3);

– провести аутентификацию сторон, устанавливающих связь (этап 1, 2);

– обнаружить нарушения целостности данных (этап 1, 2);

– обеспечить защиту технических средств и помещений, в которых ведется обработка конфиденциальной информации, программных продуктов (этап 1, 2);

– выполнить организационно-технические мероприятия для обеспечения сохранности конфиденциальных данных (этап 1, 2, 3).

Текущая информационная система автоматизированной экспертизы рецептов (ТМ:ЦОД) в своей работе использует информацию, имеющую конфиденциальный характер, персональные данные льготных категорий граждан. Система защиты основана на трёх принципах обработки информации, характеризующих систему защиты (рис. 1.7).

1_7.wmf

Рис. 1.7. Принципы защиты

При планировании мер по обеспечению информационной безопасности необходимо руководствоваться международными стандартами по защите информации. Наиболее распространенным и достаточно удобным инструментом построения системы обеспечения корпоративной информационной безопасности являются стандарты ISO серии 27000, ИСО/МЭК 17799. Это стандарты с номерами 27001, 27002 (современное развитие стандартов BS 7799), 27003–27008 и выше. Методологию, основанную на данных международных стандартах в сочетании со стандартом Control Objectives for Information and related Technologies (COBIT) и лучшими практиками ITIL.

Все процессы, связанные с работой ИС, приведены в соответствие с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» во избежание появления множества рисков, вот некоторые из них:

– временное приостановление деятельности компании, при выявлении нарушений по обработке персональных данных, до момента устранения нарушений;

– лишение лицензии на основной вид деятельности;

– потеря доверия у партнёров;

– привлечение к ответственности должностных лиц компании (административная, уголовная и другие виды ответственности);

– финансовые потери.

Следующее направление, которое охватывает система защиты – проблема «инсайдерства». Это угроза, которой уделяют наибольшее внимание специалисты по информационной безопасности во всём мире. Инсайдер (англ. insider) – член какой-либо группы людей, имеющей доступ к информации, недоступной широкой публике [149, 288]. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер – это член группы, обладающий информацией, имеющейся только у этой группы. В контексте рассматриваемой работы, инсайдером принято называть сотрудника компании, занимающегося сбором коммерческой информации с целью её продажи (передачи) третьим лицам. Либо сотрудник, осуществляющий конкурентную разведку в интересах организаций – конкурентов. Следствием данной угрозы, является проблема разграничения доступа к ресурсам ИС.

Другим направлением, охваченным системой защиты, является проблема человеческого фактора, т.е. рисков (угроз), связанных с невнимательностью или неопытностью всех лиц, имеющих отношение к работе ИС. Риски, связанные с утерей (хищением) носителей информации. Угрозы, вызванные работой вредоносных программ. Это грозит нарушением принципов конфиденциальности, доступности и целостности информации. Риск непрерывности функционирования ТМ:ЦОД (сбои, отказы и ошибки в работе программного, аппаратного обеспечения и проч.). Угроза фальсификации данных поступающих в ТМ:ЦОД для обработки. Подмена выходных данных.

В качестве средств защиты информации используют: ViPNet Client (Клиент), Dallas Lock 8.0-K, антивирусный продукт «Kaspersky Endpoint Security». Перечисленные программные продукты имеют сертификаты соответствия ФСТЭК России и ФСБ, что дает возможность их использования в организациях с повышенными требованиями к уровню безопасности. Использование данных средств защиты информации позволяет привести автоматизированные системы в соответствие требованиям законов РФ, стандартов и руководящих документов по защите конфиденциальной информации.

ViPNet Client (Клиент) – это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным программным обеспечением функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования [155].

Для защиты от несанкционированного доступа применяют программное средство защиты информации Dallas Lock 8.0-K, которое обеспечивает [150]:

1. Защиту конфиденциальной информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах, серверах, работающих как автономно, так и в составе локальной вычислительной сети.

2. Дискреционный принцип разграничения доступа к информационным ресурсам и подключаемым устройствам в соответствии со списками пользователей и их правами доступа (матрица доступа).

3. Применение средств аппаратной (двухфакторной) аутентификации с использованием аппаратных идентификаторов (Flash-дисков и токенов).

4. Аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий.

5. Контроль целостности файловой системы, программно-аппаратной среды и реестра.

Применяемый антивирусный продукт «Kaspersky Endpoint Security» реализует следующие функции защиты информации [67]:

1. Многоуровневая защита от кибератак и вредоносного программного обеспечения.

2. Консоль управления Kaspersky Security Center, которая обеспечивает централизованный контроль за всеми защитными решениями «Лаборатории Касперского» для защиты рабочих мест и серверов.

3. Контроль устройств позволяет определить внешние устройства, которым разрешен и запрещен доступ в корпоративную сеть.

4. Веб-Контроль позволяет настроить политики доступа к интернету и отслеживать его использование работниками.

Несмотря на имеющиеся успехи, в существующей системе защиты информации еще не идентифицированы актуальные угрозы информационной безопасности. Таким образом, необходима модель идентификации угроз безопасности для информационной системы льготного лекарственного обеспечения Краснодарского края, а также рекомендации по предотвращению их реализации.

Необходимо заметить, что в работе обозначенных выше программ ЛЛО – ПЦ, Регистр региональных льготников, ТМ:ЦОД – имеются аспекты, требующие увеличения эффективности. Невозможность учета аналитических заключений экспертов о причинах и последствиях выявленных дефектов при выписке рецептов приводит к несовершенству дальнейшего планирования МЭК и, как следствие, недостаточному качеству анализа результатов экспертиз. Исходя из этого, требуются дальнейшие разработки в данной области.


Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1,674