Специалисты кафедры информационной безопасности Московского политехнического университета представили анализ ключевых уязвимостей в системе защиты медицинских данных и разработали практические рекомендации по их устранению. Особое внимание уделено защите локальных сетей медучреждений, внедрению сертифицированных средств защиты и регулярному аудиту безопасности – эти меры особенно актуальны в свете последних изменений законодательства об усилении ответственности за утечку персональных данных, сообщили «МВ» в пресс-службе вуза.

Анализировали все уровни медицинских информационных систем (МИС) – от федеральных баз данных до локального оборудования больниц.

Ключевым фактором защиты, по мнению экспертов, остается правильная настройка локальных вычислительных сетей медучреждений. Важно обеспечить сегментацию сети, разграничение доступа к различным типам медицинских данных. Например, информация от лабораторного оборудования для экстренной диагностики должна храниться отдельно от административных систем. Это позволит минимизировать риски несанкционированного доступа к критически важным данным пациентов.

Второй важный аспект – внедрение сертифицированных средств защиты информации. Рекомендуется использовать специализированные решения для мониторинга и анализа защищенности МИС. Программное обеспечение должно соответствовать требованиям ФСТЭК России, изложенным в приказах № 17, № 31 и № 239. Особенно важно обеспечить защиту данных в системах, связанных с постановкой диагноза и назначением лечения.

Третий ключевой элемент – регулярный аудит безопасности. Медорганизациям необходимо проводить оценку защищенности информационных систем не реже одного раза в квартал. Это позволит своевременно выявлять и устранять потенциальные уязвимости в системах хранения и обработки данных пациентов. В ходе таких проверок особое внимание следует уделять анализу журналов доступа, выявлению нестандартных действий пользователей и тестированию механизмов защиты.

Следует также уделять внимание защите специализированного медицинского оборудования. В частности, системы лучевой диагностики и терапии требуют особых мер безопасности, так как напрямую влияют на постановку диагноза и ход лечения пациентов. Специалисты рекомендуют внедрить многофакторную аутентификацию для доступа к такому оборудованию и обеспечить шифрование передаваемых данных.

Кроме того, важно обеспечить защиту федеральных информационных систем в сфере здравоохранения, включая ЕГИСЗ. Рекомендуется внедрять дополнительные механизмы контроля доступа и мониторинга действий пользователей, а также регулярно обновлять средства защиты с учетом вновь выявленных угроз.

Еще один важный аспект – защита лабораторных информационных систем. Учитывая критическую важность результатов лабораторных исследований для постановки диагноза, необходимо обеспечить не только конфиденциальность данных, но и их целостность, а также доступность для авторизованного медперсонала, подчеркивают эксперты.