Анализ информационных рисков виртуальных инфраструктур здравоохранения

___________________________

Булдакова Т.И., Суятинов С.И., Миков Д.А.


Статья рекомендована А.В. Евтюшкиным 26.08.2013 г.

Аннотация

Рассмотрены варианты построения виртуальных инфраструктур в системе здравоохранения и поставлена задача выявления информационных рисков виртуального центра охраны здоровья. Для ее решения использована методология IDEF0, на основе которой разработана функциональная IDEF0-модель виртуального центра охраны здоровья населения. Проведен анализ бизнес-процессов и информационных потоков, выявлены уязвимые места и недостатки в функционировании информационной системы. Предложен комплекс контрмер для снижения уровня информационного риска.

Ключевые слова:

информационные риски, здравоохранение, виртуальные системы, персональная информация, методология IDEF0.

Процесс модернизации системы здравоохранения сопровождается активным внедрением информационно-коммуникационных технологий, обеспечивающих формирование каналов устойчивых коммуникаций между специалистами разных лечебно-профилактических учреждений (ЛПУ), удаленный доступ к медицинским информационным системам (МИС), облегчение и ускорение записи пациентов на прием к врачам. При реализации программ информатизации здравоохранения, выполняемых министерствами здравоохранения многих стран, важным шагом становится развертывание дата-центров, обслуживающих региональные управления здравоохранения, больницы, центры управления работой медицинских сетей. С этой целью создаются виртуальные инфраструктуры, повышающие эффективность информационного обмена между органами управления системы здравоохранения и ЛПУ и способствующие развитию телемедицинских услуг. Основными задачами являются создание электронной регистратуры, внедрение электронных медицинских карт (ЭМК) пациентов, разработка электронных средств оперативного доступа к новейшей лечебной и диагностической информации и др. [1–7].

В России крупные медицинские информационно-аналитические подразделения развертывают площадки своих центров обработки данных, используя различные платформы виртуализации (например, VMware vSphere), и создают инфраструктуру виртуальных рабочих мест для работников ЛПУ, предоставляя им прямой доступ к МИС. В первую очередь в виртуальную среду переносятся приложения и инфраструктурные сервисы, используемые при обработке медицинской информации.

Учитывая специфику хранимой и обрабатываемой информации, важная роль при создании виртуальной инфраструктуры здравоохранения отводится методам и средствам защиты данных.

Разновидности виртуальных систем здравоохранения

Виртуальные инфраструктуры системы здравоохранения создаются для повышения качества медицинской помощи, увеличения оперативности представления медицинской информации, обеспечения комфортности работы медицинского персонала. Они объединяют на базе единого информационного пространства (ЕИП) все составляющие элементы системы здравоохранения, обеспечивая сбор более полной информации, анализ и обмен большими объемами данных, в значительной степени автоматизируя труд медицинского персонала [7].

Информатизация медицины позволяет не только сформировать систему качественного и доступного здравоохранения, но и минимизировать расходы государства. По данным Российского агентства медико-социальной информации АМИ (http://ria-ami.ru), внедрение ЭМК в Канаде, например, позволило сэкономить за шесть лет почти 1,3 млрд. долл. США. Экономия была достигнута благодаря ускорению процессов внесения информации о пациентах и обработки результатов о проведенных исследованиях, а также за счет отказа от дублирующих друг друга исследований.

В России интерес к подобным инновациям появился сравнительно недавно. Важную роль сыграло развитие концепции электронного правительства. Однако отечественные проекты создания виртуальных структур для предоставления онлайновых медицинских услуг находятся на стадии становления.

В настоящее время в нашей стране принят и внедряется национальный стандарт ГОСТ Р 52636-2006 «Электронная история болезни. Общие положения». В отличие от традиционного медицинского документа, ЭМК доступна многим врачам одновременно и может быть использована для компьютерной обработки (статистической обработки, построения динамических кривых, подготовки отчетов и т.д.). Основной проблемой практического внедрения ЭМК является создание единого информационного пространства, обеспечивающего «взаимопонимание» и обмен медицинской информацией между различными организациями, занимающимися обследованием и лечением пациента [4, 7]. Кроме того, в стандарте отсутствуют требования к ведению, полноте и охвату конкретных медицинских записей (статусов, эпикризов, консультаций врачей-специалистов, результатов анализов и др.), поэтому обсуждаются проекты еще двух национальных стандартов и двух положений, регламентирующих ведение ЭМК [3].

Другим примером виртуальной структуры являются электронные регистратуры. Цель их создания состоит в том, чтобы упростить схему оформления документов, частично освободив персонал от выполнения рутинной работы, а также сократить время ожидания граждан в очереди на предоставление услуги. Инструментом реализации электронной услуги является Web-сайт медицинского учреждения, обеспечивающий пользователям широкий спектр дополнительных возможностей: просмотр необходимой информации, получение интерактивной консультации специалистов, возможность записи на прием к врачу, а также просмотр медицинских записей о состоянии своего здоровья в режиме онлайн [5].

На региональном уровне уже реализованы отечественные проекты по созданию и внедрению электронной услуги «Запись на прием к врачу». Каждый из охваченных проектами регионов вводит в эксплуатацию собственный портал медицинских электронных услуг, позволяющий пациентам самостоятельно записываться на прием в любое участвующее в программе лечебное учреждение. Несмотря на то, что для создания порталов в регионах привлекаются разные специалисты в области информационных технологий, схема предоставления услуг аналогична [8].

Еще одним примером развития виртуальной инфраструктуры здравоохранения являются системы телемедицины, которые предоставляют высококвалифицированную помощь врачей ведущих медицинских центров пациентам в отдаленных районах. Кроме того, практикующие врачи в процессе регулярного консультирования с коллегами из крупных медицинских центров получают дополнительный опыт и знания. В настоящее время получают развитие мобильные телемедицинские комплексы для работы на местах аварий. Современный мобильный телемедицинский комплекс объединяет в себе мощный компьютер, легко сопрягаемый с разнообразным медицинским оборудованием, средства ближней и дальней беспроводной связи, средства видеоконференции и IP-вещания.

В западных странах телемедицинские системы динамического наблюдения широко используются для мониторинга состояния пациентов с хроническими заболеваниями (диабет, сердечная патология, пожилые люди) [9–11]. Многообещающим направлением развития дистанционного биомониторинга является интеграция датчиков в одежду, различные аксессуары, мобильные телефоны [12]. Включение такой мобильной измерительной системы в ЕИП (рис. 1) позволит осуществлять непрерывный мониторинг состояния человека независимо от его местонахождения.



Рис. 1. Дистанционный мониторинг на основе единого информационного пространства

Оценка состояния человека в системах биомониторинга может выполняться разными способами: под наблюдением лечащего врача, на основе анализа контролируемых параметров (норма – патология) или автоматизированно по вычислительной модели пациента (виртуальной физиологии). Виртуальная копия пациента, построенная посредством математических моделей элементов и подсистем организма, описывает деятельность физиологических подсистем человека и представляет собой его виртуальный физиологический образ (ВФО) [10, 13]. ВФО можно рассматривать как вычислительный модуль, который предоставляет знание о пациенте. Примеры автоматизированной оценки состояния пациента и формирования ВФО приведены в работах [14, 15].

В организационно-техническом плане все заинтересованные члены ЕИП объединяются на базе провайдера виртуального (компьютерного) центра охраны здоровья (ВЦОЗ), используя различные средства коммуникаций [13]. Исходная информация, функции и возможные потребители услуг провайдера виртуального центра представлены на рисунке 2.



Рис. 2. Информационное пространство виртуального центра

В общем случае подобный виртуальный центр можно рассматривать как сложную иерархическую структуру, в которой каждый уровень характеризуется своими задачами, набором необходимых приложений для обработки и интерпретации медицинской информации, собственной компетенцией. Например, на оперативном (нижнем) уровне реализуются типовые действия и процедуры, связанные со сбором и первичной обработкой информации о состоянии пациента. Далее эта информация может структурироваться в базах данных для формирования электронных архивов и ведения ЭМК пациента. На более высоких уровнях могут решаться задачи, связанные с обобщением исходных данных по регионам или группам населения, с прогнозированием развития ситуации, с оценкой качества лечебно-диагностических процедур и т.д.

Несмотря на многообразие предлагаемых вариантов реализации виртуальных систем здравоохранения [4–7, 9–11], зачастую в них игнорируется такой важный аспект, как информационная безопасность. Вопросам защиты информации, циркулирующей в подобных системах, либо вообще не уделяется внимания, либо они рассматриваются крайне односторонне и поверхностно. Однако любые МИС обрабатывают как персональные данные, так и демографическую, финансовую и медицинскую информацию. Следовательно, необходимо обеспечить безопасность обрабатываемых в виртуальном центре охраны здоровья персональных данных и информации, составляющей врачебную тайну. Для этого требуется более детальный анализ информационных потоков в МИС и их взаимосвязей.

IDEF0-модель функционирования виртуального центра охраны здоровья

Методология функционального моделирования IDEF0 применяется для получения моделей, отображающих структуру и функции системы, а также потоки информации и материальные объекты, связывающие эти функции [16]. Основой построения модели является описание системы в целом и ее компонентов. Модель строится как совокупность иерархически упорядоченных и взаимосвязанных диаграмм.

Рассмотрим обобщенную IDEF0-модель информационной системы ВЦОЗ [13]. Начальная контекстная диаграмма А-0 представлена на рисунке 3.



Рис. 3. Начальная контекстная диаграмма ВЦОЗ

Как видим, на вход ВЦОЗ поступают:

• персональные данные (Ф.И.О. пациента, пол, дата рождения и др.),

• биоинформация (сведения о росте, весе и других физиологических данных пациента, различные биосигналы),

• лингвистические данные (классификационные признаки, необходимые для формирования структуры моделей, базы знаний и виртуальный физиологический образ пациента).

На выходе имеется справочная информация для пациента и результаты оценки функционального состояния его организма. Процесс функционирования ВЦОЗ управляется законодательством и внутренними нормативными актами и осуществляется с использованием комплекса программно-аппаратных средств при участии персонала ВЦОЗ.

В общем случае в информационной системе ВЦОЗ можно выделить подсистему структурирования данных, подсистему обработки данных и подсистему анализа данных и извлечения знаний. Эта информация отражается на контекстной диаграмме А0 следующего иерархического уровня, где каждой подсистеме соответствует функциональный блок. После декомпозиции этих блоков получают еще три диаграммы. Пример декомпозиции блока «Структурирование данных» приведен на рисунке 4. Аналогично выполнены декомпозиции блоков «Обработка данных» и «Анализ данных и извлечение знаний».



Рис. 4. Структурирование данных (диаграмма А1)

Для более подробного описания процессов и анализа потоков данных, циркулирующих в информационной системе ВЦОЗ, рассмотрим диаграммы декомпозиции второго уровня.

Анализ IDEF0-модели для выявления информационных рисков

На диаграмме, описывающей процесс структурирования информации (см. рис. 4), видно, что в роли данных выступают персональные сведения и биоинформация о пациенте, которые собираются и проходят первичную обработку с помощью устройств удаленного доступа – мобильных терминалов или информационно-измерительных систем. Здесь формируется регистрационный номер пациента, который ставится в соответствие группе пользователей «Пациент» в информационной системе ВЦОЗ. Весь процесс сбора и первичной обработки должен происходить с учетом требований Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

Кроме того, устройства удаленного доступа осуществляют формирование структуры модели ВФО на основе лингвистических данных. Типы структур моделей и алгоритм их формирования должны быть определены во внутренних нормативных актах ВЦОЗ. Далее регистрационный номер и структура модели пересылаются на Web-сервер ВЦОЗ.

Регистрационный номер пополняет базу данных, а структура моделей – базу знаний (БЗ). В базе данных хранятся регистрационные номера пациентов и сотрудников ВЦОЗ, каждый из которых принадлежит к определенной группе пользователей, наделенной соответствующими полномочиями и правом доступа. БЗ содержит информацию о структуре моделей и знания, накопленные врачами и исследователями, и связана с базой электронной медицинской карты, куда поступают все личные данные пациента, включая информацию о госпитализации, историю болезни, результаты проведенных исследований. ЭМК пациентов периодически пополняют архив, который предназначен для ведения статистических отчетов. База данных, база знаний, база ЭМК и архив располагаются на Web-сервере и управляются единой системой управления базами данных (СУБД). Все правила и особенности формирования и ведения БД, БЗ, базы ЭМК и архива также должны быть отражены во внутренних нормативных актах ВЦОЗ.

Обратимся к анализу информационной безопасности, определим уязвимые в МИС и существующие информационные риски.

Сначала рассмотрим подсистему структурирования данных. Эффективным решением для выполнения требования Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», связанного с письменным согласием пациента на обработку его персональных данных, может быть документ, заверенный электронной подписью.

Управление БД, БЗ, базой ЭМК и архивом должно выполняться с помощью единой системы управления базами данных для обеспечения информационной совместимости при обмене данными во ВЦОЗ. Выбор подходящей СУБД должен быть согласован с организацией единого информационного пространства [7]. Также необходимо гарантировать проверку целостности, резервное копирование и восстановление данных. Это требуется для оперативного восстановления всей подсистемы структурирования данных либо любой ее части (база данных, база знаний, база электронных карт, архив) в случае повреждений, возникающих вследствие неизбежных нарушений в работе системы. Представляется, что естественным решением указанных проблем может быть использование CALS-технологий. Подтверждением этого является, например, широкое использование языка XML для представления, хранения и использования различными пользователями биотехнических и физиологических данных [17].

Наибольшее внимание в подсистеме обработки данных (с точки зрения ее уязвимых мест) следует обратить на процессы организации доступа к данным и обмена данными с клиентами. Предоставление данных, с одной стороны, с высокой доступностью и, с другой – их защита от несанкционированного доступа является сложной задачей.

Контроль доступа в информационной системе ВЦОЗ сопряжен с рядом проблем, с которыми не приходилось сталкиваться в других сферах обеспечения безопасности. Прежде всего, поскольку защищаемая информация составляет персональные данные, то нарушение безопасности может привести к необратимым последствиям для заинтересованных лиц. При этом существует необходимость в полном доступе ко всей информации, относящейся к пациентам (например, наличие аллергии на определенные лекарства, ВИЧ-статус и т.д.). Однако самым сложным аспектом является объем полномочий, предоставляемых пациентам с точки зрения контроля доступа. Согласие пациентов и конфиденциальность являются ключевыми вопросами. Пациентам предоставляется возможность указать степень ограничения контроля доступа к их медицинским данным, что потенциально предполагает сложную политику безопасности [18].

Распределение прав доступа к данным обеспечит всем участникам процесса обработки защищаемой медицинской информации присвоение специальной метки («секретно», «для служебного пользования» и т.д.), именуемой уровнем безопасности или уровнем доступа. Все уровни безопасности должны быть основаны на принципе доминирования. Контроль доступа должен осуществляться в зависимости от уровня безопасности взаимодействующих сторон на основании двух простых правил:

во-первых, уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности (допуск);

во-вторых, уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Синхронизация доступа клиентов к информационным ресурсам ВЦОЗ позволит предотвратить совместный доступ к ним: одновременное использование ресурсов несколькими клиентами может привести к порче данных и нарушениям в работе системы.

Еще одной проблемой подсистемы обработки данных является большой объем архивной информации, передаваемой Web-сервером серверу обработки для статистического анализа и формирования отчетности. Решить эту проблему можно с помощью сжатия данных. Наконец, в подсистеме анализа данных и извлечения знаний уязвимым местом является взаимодействие сервера обработки с клиентскими приложениями при обмене данными, эталонами ВФО и результатами моделирования. Для нейтрализации этой уязвимости понадобится реализация следующих решений [19]:

• введение протокола взаимодействия «клиент-сервер» позволит отследить действия каждого клиента в произвольный момент времени, а также выявить пользователя, действия которого привели к порче данных или к возникновению спорных ситуаций из-за ошибочно введенной информации;

• автоматическое обновление клиентских модулей обеспечит своевременную установку обновлений и исправление клиентских модулей, значительно упрощая работу, связанную с администрированием системы;

• автономная работа при потере связи с сервером позволит сохранить работоспособность клиентской части в случае временной потери связи с сервером.

Выявленные слабые места в подсистемах информационной системы ВЦОЗ показаны в таблице 1.

Табл. 1 Уязвимые элементы информационной системы ВЦОЗ

Комплекс предлагаемых контрмер по устранению выявленных недостатков, а также механизмы и способы их реализации представлены в таблице 2.

Таблица 2. Способы устранения уязвимых элементов

Таким образом, разработка и анализ функциональной IDEF0-модели позволили рассмотреть информационные риски ВЦОЗ, выявить восемь уязвимых мест в его информационной системе и разработать комплекс контрмер, направленных на снижение уровня риска. Предложенный подход может быть использован для анализа информационных рисков при других вариантах построения виртуальных инфраструктур здравоохранения.

ЛИТЕРАТУРА

1. Development of the electronic service system of a municipal clinic (based on the analysis of foreign web resources) / A.V. Lantsberg, K. G. Troitzch, T.I. Buldakova // Automatic Documentation and Mathematical Linguistics. 2011. V. 45. № 2. P. 7480.

2. Llinás G., Rodríguez-Iñesta D. et al. Comparison of Websites from Spanish, American and British Hospitals // Methods of Information in Medicine. 2008. V. 47. Is. 2. P. 124130.

3. Зингерман Б.В., Шкловский-Корди Н.Е. Электронная медицинская карта и принципы ее организации // Врач и информационные технологии. 2013. № 2. С. 3758.

4. Румянцев В.П., Евдонин Е.С. Применение CALS-технологий для ведения электронной истории болезни в открытых медицинских информационных системах // Информационные технологии и вычислительные системы. 2006. № 3. С. 2533.

5. Развитие системы электронных услуг муниципальной поликлиники (на основе анализа зарубежных web-ресурсов) / А.В. Ланцберг, К. Тройч, Т.И. Булдакова // Научно-техническая информация. Серия 2: Информационные процессы и системы. 2011. № 4. С. 17.

6. Гусев А.В. Обзор электронных регистратур // Врач и информационные технологии. 2010. № 6. С. 415.

7. Вопросы создания Единого информационного пространства в системе здравоохранения РАН / Н.Г. Гончаров, Я.И. Гулиев, Ю.В. Гуляев и др. // Информационные технологии и вычислительные системы. 2006. № 4. С. 8394.

8. Особенности оценки качества медицинской электронной услуги / А.В. Ланцберг, К. Тройч, Т.И. Булдакова // Информационное общество. 2011. № 4. С. 2837.

9. Winters J., Wang Y. Wearable Sensors and Telerehabilitation // IEEE Engineering in Medicine and Biology Magazine. 2003. N. 3. P. 5665.

10. Prado M., Roa L., Reina-Tosina J. Virtual Center for Renal Support: Technological Approach to Patient Physiological Image // IEEE Transaction on biomedical engineering. 2002. V. 49. N 12. P. 14201430.

11. Paradiso R., Loriga G., Taccini N. A Wearable Health Care System Based on Knitted Integrated Sensors // IEEE Transactions on Information Technology in Biomedicine. 2005. V. 9. N. 3. P. 337344.

12. Леванов В.М., Переведенцев О.В., Орлов О.И. Основы аппаратно-программного обеспечения телемедицинских услуг: учебное пособие. М.: Слово, 2006.

13. Концептуальная модель виртуального центра охраны здоровья / В.С. Анищенко, Т.И. Булдакова, П.Я. Довгалевский и др. // Информационные технологии. 2009. № 12. С. 5964.

14. Программно-аналитический комплекс модельной обработки биосигналов / Т.И. Булдакова, В.И. Гриднев, К.И. Кириллов и др. // Биомедицинская радиоэлектроника. 2009. № 1. С. 7177.

15. Методика идентификации сложных систем / А.В. Коблов, А.В. Ланцберг, Н.С. Самочетова и др. // Вестник Саратовского государственного технического университета. 2007. №4 (27). С. 3137.

16. Калянов Г.Н. CASE-технологии. Консалтинг при автоматизации бизнес-процессов. М.: Горячая линия – Телеком, 2002.

17. Manickam S, Abidi A. Extracting clinical cases from XML-cased electronic patient records for use in web-based medical case based reasoning systems // Proc. Medinfo. 2001. P. 643647.

18. Eyers D.M., Bacon J., Moody K. Oasis role-based access control for electronic health records // IEE Proc.-Softw. 2006. V. 153. N. 1. Р. 16–23.

19. Организация информационного обеспечения медицинской компьютерной диагностической системы / О.Н. Бодин, Д.С. Логинов, М.А. Семенкин // Информационно-измерительные и управляющие системы. 2008. № 12. С. 110114.

________________________________

БУЛДАКОВА Татьяна Ивановна

Доктор технических наук, профессор кафедры «Информационная безопасность» Московского государственного технического университета им. Н.Э. Баумана

СУЯТИНОВ Сергей Игоревич

Кандидат технических наук, доцент научно-учебного комплекса «Радиоэлектроника, лазерная и медицинская техника» Московского государственного технического университета им. Н.Э. Баумана

МИКОВ Дмитрий Александрович

Магистрант кафедры «Информационная безопасность» Московского государственного технического университета им. Н.Э. Баумана


© Информационное общество, 2013 вып. 4, с. 41-51.