Одним з найважливіших напрямів, що дозволяють закладу охорони здоров’я реалізувати свою діяльність на сучасному рівні, є впровадження інформаційних систем. Разом з тим інформаційні системи і мережі закладу охорони здоров’я є об’єктом численних загроз для безпеки. Джерелами загроз можуть бути хакерські атаки, шахрайські програми, різного роду впливи, що викликають відмови в роботі інформаційних систем. Незалежно від того, в якому вигляді інформація зберігається, яким чином використовується, необхідно реалізовувати адекватні заходи захисту. Кожен керівник закладу охорони здоров’я повинен об'єктивно оцінювати поточний стан інформаційних систем, бачити і розуміти потреби в інформаційному забезпеченні та існуючі інформаційні проблеми. У цьому контексті тема створення дієвої системи управління інформаційною безпекою медичної організації залишається однією з найбільш актуальних у сфері інформатизації та побудови системи управління.

Особливістю медичної інформації є її конфіденційність. База даних медичної інформаційної системи містить критично важливу інформацію, від якої часто може залежати життя людини. Тому ключовим фактором при створенні медичних інформаційних систем має стати забезпечення цілісності бази даних, а також можливість спостереження, моніторингу стану самої системи і її захищеності.Інформаційна безпека досягається за допомогою застосування відповідного набору засобів управління, обраного за допомогою процесу управління ризиками і керованого з використанням системи менеджменту інформаційної безпеки, включаючи політику, процеси, процедури, організаційні структури, програмне та апаратне забезпечення, щоб захистити ідентифіковані інформаційні активи [3, с.28]. Ці засоби управління повинні бути визначені, реалізовані, перевірені, проаналізовані і при необхідності поліпшені, щоб гарантувати, що рівень безпеки відповідає діловим цілям організації. Засоби управління безпекою важливої інформації нерозривно зв'язуються з бізнес-процесами медичної організації [4, с.82].

Першим кроком на шляху до побудови системи повинні бути визначені загальні положення політики інформаційної безпеки закладу охорони здоров’я, описані технічні, організаційні вимоги, визначено склад заходів захисту інформації та їх базові набори для відповідного класу захищеності інформаційної системи, що дозволяють вибудувати системи менеджменту інформаційної безпеки.

Провідною світової практикою у сфері управління інформаційною безпекою є стандарт ISO / IEC 27001 «Інформаційні технології - Методи забезпечення безпеки - Системи управління інформаційною безпекою - Вимоги» [5], розроблений Міжнародною організацією зі стандартизації (ISO) і Міжнародної електротехнічної комісією (IEC) на основі британського стандарту BS 7799 . Міжнародний стандарт ISO / IEC 27001 визначає вимоги до системи управління інформаційною безпекою та визначає її як «збереження конфіденційності, цілісності та доступності інформації», крім того, можуть бути включені і інші властивості, включаючи достовірність, актуальність, авторство тощо [2, с. 152]. У загальному вигляді модель системи менеджменту інформаційної безпеки закладу охорони здоров’я повинна бути представлена в зазначеному стандарті, проте розробку елементів системи необхідно розглядати з позиції застосування для конкретної медичної організації з урахуванням галузевої специфіки.

Розробка моделі загроз інформаційній безпеці закладу охорони здоров’я є необхідною умовою формування обґрунтованих вимог до забезпечення безпеки інформації медичних інформаційних систем і проектування системи управління інформаційною безпекою. Цей документ являє собою опис типових загроз, що містить опису в наступній структурі: анотація загрози; можливі джерела загрози; спосіб реалізації загрози; використовувані уразливості; види ресурсів, що потенційно знаходяться під загрозою; - характеристики безпеки ресурсів, що порушуються; можливі наслідки реалізації загрози.

Паспорт загрози інформаційної безпеки закладу охорони здоров’я:

1. Анотація загрози

здійснення несанкціонованого ознайомлення, модифікації і блокування цільової інформації, що зберігається та оброблюваної в МІС.

2. Можливі джерела загрози:

1) користувачі МІС;

2) співробітники закладу, що мають санкціонований доступ в службових цілях до приміщень, в яких розміщуються ресурси МІС, але не мають права доступу до ресурсів;

3) обслуговуючий персонал закладу (охорона, працівники інженерно-технічних служб і т.д.)

4) особи, які мають можливість доступу до системи передачіданих;

5)користувачі, які є зовнішніми по відношенню доконкретної системи.

3. Способи реалізації загрози:

1) здійснення несанкціонованого доступу, використовуючи штатні засоби МІС;

2) використання безконтрольно залишених технічних засобів;

3)розкрадання порушниками і втрата уповноваженими особами технічних засобів МІС (в тому числі носіїв інформації);

4)несанкціонований перегляд засобів відображення інформації і роздрукованих документів.

4. Вразливості

- недоліки механізмів розмежування доступу і організаційних заходів, пов'язані з можливістю здійснення несанкціонованого доступу до інформації, що захищається.

5. Вид ресурсів, що потенційно знаходяться під загрозою

Цільова інформація

6. Характеристики безпеки ресурсів, що порушуються

конфіденційність, цілісність, доступність.

7.Можливі наслідки реалізації загрози

несанкціоноване ознайомлення з інформацією, що захищається; спотворення інформації; неподання цільової інформації споживачам ввідведені часові рамки.

Примітка. Запропоновано автором.

Слід зазначити, що прийняття системи менеджменту інформаційної безпеки (СМІБ) закладу охорони здоров’я є стратегічним рішенням для, і необхідно, щоб це рішення нерозривно інтегрувалися, оцінювалося і оновлювалося відповідно до її потреб. На розробку і реалізацію системи менеджменту інформаційної безпеки закладу охорони здоров’я організації впливають потреби і цілі організації, вимоги безпеки, які використовуються бізнес-процеси, а також розмір і структура організації. Розробка і функціонування системи менеджменту інформаційної безпеки повинні відображати інтереси і вимоги інформаційної безпеки всіх зацікавлених осіб організації, включаючи пацієнтів, постачальників, ділових партнерів, страхові компанії, органи управління охороною здоров'я та інших осіб.

Таким чином, сучасні практики з управління системи менеджменту інформаційної безпеки закладу охорони здоров’я базуються на міжнародному стандарті ISO/IEC 27000. Виконання вимог ISO/IEC 27000 дозволяє медичної організації формалізувати і структурувати процеси управління інформаційною безпекою за наступними напрямами: розробка політики безпеки; організація інформаційної безпеки; організація управління внутрішніми активами і ресурсами, що складають основу ключових процесів діяльності; захист персоналу і зниження внутрішніх загроз; фізична безпека і безпека навколишнього середовища; управління засобами зв'язку та експлуатацією обладнання; управління і контроль доступу; розробка та обслуговування апаратно-програмних систем; відповідність вимогам стандарту і дотримання правових норм з безпеки [1,с.106].