Компания: | АКСИМЕД |
Компания АКСИМЕД (http://www.aksimed.ru) обеспечила безопасность персональных данных, обрабатываемых в медицинской информационной системе AKSi-клиника/Амулет. Подсистема защиты персональных данных разработана с использованием продуктов, сертифицированных Федеральной службой по техническому и экспортному контролю (ФСТЭК) и ФСБ, построена на основе классической ролевой схемы разграничения доступа и обладает разнообразными функциями управления правами и полномочиями пользователей, мониторинга их действий, аудита и информирования администратора безопасности о попытках обойти средства защиты.
Возможности подсистемы безопасности могут быть расширены с помощью дополнительно подключаемых средств. Так, идентификация пользователя медицинской информационной системы (МИС) AKSi-клиника/Амулет осуществляется доменным контроллером сертифицированной версии операционной системы Microsoft Windows. Обычно пользователи вводят логин и пароль, однако такой подход неприемлем в информационных системах медицинских учреждений, безопасность которых в соответствии с Федеральным законом «о персональных данных» и подзаконными актами должна обеспечиваться по высшему классу (К1).
Для выполнения требований регуляторов (ФСТЭК, ФСБ, Роскомнадзора) необходим более надежный механизм, и соблюдение этих требований в МИС AKSi-клиника/Амулет реализуется возможностью подключения аппаратных идентификаторов — например, сертифицированных ФСТЭК и ФСБ токенов, в защищенной энергонезависимой памяти которых размещается идентификационная информация пользователей. Еще один вариант — применение сертифицированных аппаратных средств защиты от несанкционированного доступа, которые наряду с идентификацией и аутентификацией пользователя контролируют целостность файловой системы, программной среды, системного реестра, аппаратной конфигурации, а также разграничивают доступ к портам и съемным носителям.
Безопасность персональных данных обеспечивается и при их передаче по каналам связи между рабочей станцией пользователя, сервером приложений и системой управления базами данных (СУБД). С этой целью в медицинской информационной системе АКСИМЕД предусмотрено подключение сертифицированных ФСБ криптосервиспровайдеров (Cryptographic Service Provider — CSP), реализующих отечественный алгоритм шифрования ГОСТ 28147-89.
Следующий этап обработки персональных данных — обращение пользователя к СУБД. В МИС AKSi-клиника/Амулет возможно применение сертифицированных ФСТЭК версий этих продуктов — таких, например, как Oracle Database или Microsoft SQL Server. С использованием внутренних механизмов этих СУБД и в соответствии с ролевой схемой права доступа могут назначаться как конкретному пользователю, так и группам пользователей (ролям), а сам доступ регламентируется с точностью до отдельной записи СУБД.
Важнейшим компонентом подсистемы безопасности персональных данных в МИС AKSi-офис является сервис мониторинга и аудита. С его помощью администратор безопасности может контролировать среду, из которой разрешен доступ к ресурсам СУБД (IP-адрес компьютера, типы приложений и т.д.), осуществлять детальный аудит операций над данными и изменений прав пользователей, а также отслеживать и пресекать попытки обращений к защищаемым данным пользователей, не имеющих соответствующих прав.
Разработку подсистемы безопасности персональных данных МИС AKSi-клиника/Амулет компания АКСИМЕД осуществила на основании лицензий ФСТЭК и ФСБ, предоставляющих право вести деятельность в сфере защиты информации. Эти лицензии также позволяют АКСИМЕД осуществлять мероприятия и оказывать услуги по защите конфиденциальной информации, осуществлять распространение шифровальных (криптографических) средств и проводить их техническое обслуживание. Все это дает возможность компании АКСИМЕД оказывать лечебно-профилактическим учреждениям полный комплекс услуг по реализации режима защиты персональных данных, безопасность которых обеспечивается в том числе и в самой медицинской информационной системе AKSi-клиника/Амулет.
Юрий Логачев, президент компании АКСИМЕД: «С 1 января 2010 года вступают в полную силу все положения Федерального закона № 152-ФЗ “О персональных данных”, и у медицинских учреждений остается меньше двух месяцев, чтобы привести свои информационные системы в соответствие с требованиями этого закона и подзаконных актов к нему. Компания АКСИМЕД первой из фирм-разработчиков медицинских информационных систем получила лицензии ФСБ и ФСТЭК на деятельность в сфере защиты информации, подписала партнерские соглашения с ведущими российскими компаниями в области информационной безопасности, и на этой основе предоставляет лечебно-профилактическим учреждениям полный комплекс услуг по реализации режима защиты персональных данных. Появление выделенной подсистемы безопасности персональных данных в медицинской информационной системе AKSi-клиника/Амулет — еще один важный шаг в этом направлении».