3.2.5. Безопасность
Безопасность является очень важным параметром качества и одним из ключевых факторов предоставления высококачественных медицинских услуг во всей системе. Архитектура интеграционной платформы здравоохранения должна обеспечивать приемлемое соотношение между безопасностью, полезностью и стоимость й всей системы. Архитектура системы должна позволять постепенное внедрение механизмов безопасности, путем добавления нового свойства безопасности с каждым реализуемомым этапом проекта. Имеет большое значение то, что эта архитектура подчеркивает четкое разделение между управлением медицинскими, демографическими и административными данными, что позволяет адаптировать различные механизмы безопасности по мере необходимости. Более того, компоненты и инфраструктура должны обеспечивать и поддерживать обновление механизмов безопасности независимо от причины предпосылок (законодательство, доступное финансирование, утверждение стандартов на государственном уровне, требования по формату данных и коммуникаций, и др.).
Национальная Интегрированная Информационная Система Здравоохранения (НИИСЗ) должна обеспечивать 5 основных сервисов и 2 дополнения для обеспечения высокой безопасности системы:
Рисунок 5. Сервисы безопасности
Основными сервисами безопасности являются:
• Аутентификация – процесс надежной идентификации объекта безопасности при помощи соответствующих идентификаторов и их удостоверения
• Авторизация – правила доступа к системе или преимущества выполнения некоторых задач в системе
• Безотказность (в получении данных) - свойство собственности, которое удостоверяет, что именно этот отправитель и именно этот получатель участвуют в процессе передачи данных. Безотказность отправителя подтверждает, что данные были посланы, а безотказность получателя подтверждает, что данные были получены.
• Конфиденциальность – свойство собственности, согласно которому данная информация не может быть предоставлена или раскрыта для неавторизованных лиц, предприятий, процессов
• Целостность – свойство собственности, согласно которому данные не могут быть изменены или уничтожены неавторизованным способом.
Эти пять сервисов имеют два дополнения:
• Аудит (ревизия) – процесс надежного хранения всех информационных данных для дальнейшего анализа и проверки
• Доступность – свойство собственности, согласно которому данные доступны и могут быть использованы по запросу авторизованного лица, предприятия, процесса
Недостаточность (плохое качество) любого из основных сервисов безопасности автоматически наносит ущерб или отключает другие сервисы. Например, если не обеспечивается целостность информации, то отсутствует достоверность или конфиденциальность данных, данные не могут быть использованы для аудита (ревизии).
Потеря или утечка медицинских данных пациента может рассматриваться как небольшие затраты, но поскольку нарушена неприкосновенность частной информации пациента, затраты могут рассматриваться как высокие, особенно в случае судебного разбирательства или других проблем пациента, связанных с утечкой информации. Следовательно, административные и медицинские данные пациента должны быть защищены наилучшим образом.
Строгая аутентификация и авторизация пользователей необходима для сохранения конфиденциальности данных пациента. Рекомендуется внедрить PKI-решение с сертификатами безопасности и персональными ключами для проверки пользователей НИИСЗ, а также решения с использованием цифровых подписей. Используемые в Республике Узбекистан технологии смарт-карт обеспечивают возможность поддержки сертификатов безопасности для различных приложений (банковские, медицинские и др.) При наличии разрешения дополнительного использования банковских смарт-карт со стороны банков, это решение может быть использовано и в области здравоохранения. Физическая безопасность и инструкции по эксплуатации должны гарантировать, что только авторизованный пользователь может получить доступ к медицинским и административным данным пациента. Архитектура решения должна обеспечивать высокую доступность системы и защиту от потери данных.