Модели и средства обеспечения управления информационной безопасностью медицинских информационных систем тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Зыков, Владимир Дмитриевич

  • Зыков, Владимир Дмитриевич
  • кандидат технических науккандидат технических наук
  • 2010, Томск
  • Специальность ВАК РФ05.13.19
  • Количество страниц 150
Зыков, Владимир Дмитриевич. Модели и средства обеспечения управления информационной безопасностью медицинских информационных систем: дис. кандидат технических наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. Томск. 2010. 150 с.

Оглавление диссертации кандидат технических наук Зыков, Владимир Дмитриевич

Список сокращений.

Введение.

1. Исследование безопасности медицинских информационных систем.

1.1. Понятие медицинской информационной системы.

1.2. Требования по защите медицинских информационных систем.

1.2.1. Требования законодательства по защите врачебной тайны.

1.2.2. Требования законодательства по защите персональных данных

1.3. Методика Минздравсоцразвития России по приведению медицинских информационных систем к требованиям законодательства по защите персональных данных.

1.3.1. Предпроектное обследование медицинской информационной системы.

1.3.2. Определение мероприятий по защите персональных медицинских данных в медицинской информационной системе.

1.3.3. Организационные мероприятия по защите персональных медицинских данных в медицинской информационной системе.

1.3.4. Технические мероприятия по защите персональных медицинских данных в медицинской информационной системе.

1.3.5. Эксплуатация системы защиты персональных данных и медицинской информационной системы.

1.3.6. Недостатки существующей методики.

1.4. Использование типовых решений при защите информационных систем персональных данных.

1.5. Выводы по главе.

2. Классификация и модели угроз медицинских информационных систем .46 2.1. Базовые критерии классификации медицинских информационных систем.

2.2. Формирование полного перечня угроз безопасности персональных данных.

2.2.1. Классификация угроз безопасности персональных данных.

2.2.2. Содержание модели угроз верхнего уровня.

2.2.3. Категории и возможности нарушителей.

2.2.4. Полный перечень возможных угроз безопасности для медицинских информационных систем.

2.3. Определение уровня исходной защищенности.

2.4. Расширенные критерии классификации медицинских информационных систем.

2.5. Определение вероятности реализации, коэффициентов реализуемости и показателей опасности угроз.

2.6. Определение перечня актуальных угроз.

2.7. Выводы по главе.

3. Средства обеспечения управления информационной безопасностью медицинских информационных систем.

3.1. Понятие и цель управления информационной безопасностью медицинских информационных систем.

3.2. Программное обеспечение «Модели угроз медицинских информационных систем».

3.3. Сравнение программного обеспечения «Модели угроз медицинских информационных систем» с аналогами.

3.4. Методика по приведению медицинских информационных систем к требованиям законодательства в области защиты персональных данных

3.4.1. Описание разработанной методики.

3.4.2. Рекомендации и последовательность по выполнению основных этапов обеспечения защиты ПМДн.

3.4.3. Контроль соответствия требованиям по защите персональных медицинских данных.

3.5. Оценка эффективности разработанных моделей и средств обеспечения управления информационной безопасностью МИС.

3.6. Выводы по главе.

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Модели и средства обеспечения управления информационной безопасностью медицинских информационных систем»

Основной задачей исследований в области информационной безопасности является разработка новых и совершенствование имеющихся методов и средств защиты информации.

В последние годы остро встал вопрос защиты персональных данных (ПДн) граждан, обрабатываемых в информационных системах персональных данных (ИСПДн). Этому способствует бурное развитие рынка самих ИСПДн, рост количества преступлений в сфере высоких технологий и требования законодательства.

Особое место среди систем этого класса занимают медицинские информационные системы (МИС), поскольку в них обрабатываются персональные медицинские данные (ПМДн) - сведения о состоянии здоровья граждан, которые относятся к врачебной тайне.

Рынок МИС развивается сегодня стремительными темпами [1,2,3,4,5,6]. Растущая потребность лечебно-профилактических учреждений (ЛПУ) обусловлена быстрым ростом объемов информации, которые возникают вследствие появления новых методов диагностики и анализа данных, а также увеличения потребности пациентов в более качественных методах лечения. Бумажные архивы не справляются с возрастающей нагрузкой, что приводит к увеличению временных и физических затрат на хранение документов, их поиск и обработку, и, соответственно, к необходимости автоматизации бизнес-процессов в рамках медицинских учреждений [7].

Спрос на информационные системы в сфере здравоохранения предъявляют не только ЛПУ - необходимость автоматизации внутренних процессов, документооборота, хранения и обработки информации остро ощущают и другие учреждения системы здравоохранения — территориальные и федеральные фонды обязательного медицинского страхования, органы управления здравоохранением, аптечные учреждения, научно-исследовательские и научно-практические центры и другие организации [8,9,10].

Росту спроса на информационные системы в учреждениях системы здравоохранения способствует федеральная целевая программа «Электронная Россия (2002-2010 годы)» [11] и реформа здравоохранения в рамках приоритетного национального проекта «Здоровье», одним из главных приоритетов которой является обеспечение высокотехнологичной медицинской помощи [12,13].

Одновременно с развитием информационных технологий и информационных систем учеными проводятся исследования теории и практики обеспечения информационной безопасности и ее управления. Весомый вклад в развитие этого направления работ внесли А.А. Шелупанов, Р.В. Мещеряков, Е.Б. Белов, П.Д. Зегжда, А.А. Малюк, А.А. Толстой, В.П. Лось, О.С. Авсентьев, А.А. Хорев, А.Ю. Щербаков, Ю.Н. Романец, Б. Шнайер, Б. Стефан, Ю. Спаффорд и другие.

Использование электронных медицинских документов делает процесс ' их обмена и обработки быстрее и проще. Такой документ, в отличие от традиционного, может быть доступен многим врачам и использован для компьютерной обработки (построения динамических кривых, сводных заключений, статистической обработки, подготовки отчетов и т.д.) [14,15].

Для использования электронных медицинских документов в электронном документообороте учреждений системы здравоохранения необходимо решение ряда организационно-технических вопросов, в первую очередь связанных с соблюдением врачебной тайны и защитой ПДн [16].

Каждый оператор ПДн, которыми являются все учреждения системы здравоохранения, в соответствии с требованиями законодательства должен провести комплекс организационных и технических мероприятий по их защите.

Для учреждений системы здравоохранения неисполнение требований законодательства в области защиты ПДн может привести к следующим рискам [17]:

1. Неправомерный или случайный доступ к ПМДн третьих лиц.

2. Уголовные, административные и гражданские иски со стороны пациентов и организаций.

3. Административные санкции со стороны Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора).

Обеспечение безопасности ПМДн оказывается для учреждений системы здравоохранения сложной, трудоемкой, затратной работой, не надлежащее исполнение которой может обернуться для них и граждан, чьи сведения обрабатываются, значительными негативными последствиями.

В сфере защиты ПДн обрабатываемых в ИСПДн, все большее развитие получает практика использования типовых решений, которые облегчают процесс выполнения требований законодательства и снижают временные и финансовые затраты.

Решение задачи защиты ПМДн каждым учреждением системы здравоохранения самостоятельно представляется не рациональным, вследствие чего разработка типовых моделей МИС с точки зрения защиты ПМДн, средств обеспечения управления информационной безопасностью МИС и методики по приведению МИС к требованиям законодательства в области защиты ПДн, основанных на типизации, является актуальной задачей и требует проведения научных исследований.

Целью исследования является разработка моделей медицинских информационных систем и средств обеспечения управления их информационной безопасностью для сокращения временных и финансовых затрат на защиту персональных медицинских данных.

Объектом исследования является управление информационной безопасностью медицинских информационных систем учреждений системы здравоохранения.

Предметом исследования являются модели медицинских информационных систем и средства обеспечения управления их информационной безопасностью.

Для достижения поставленной цели необходимо решение следующих задач:

1) проведение анализа требований законодательства и определение мероприятий по защите ПДн, обрабатываемых в МИС;

2) проведение классификации МИС на типы с точки зрения защиты ПМДн и построение на ее основе моделей МИС;

3) разработка методики по приведению МИС к требованиям законодательства в области защиты ПДн, основанной на типизации;

4) реализация и исследование средств обеспечения управления информационной безопасностью МИС.

Методы исследования

В качестве основных методов исследования применялись методы системного анализа, теории множеств, теории графов и теории защиты информации.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

1. Впервые для МИС, обрабатывающих ПМДн, созданы типовые модели угроз с использованием требований ФСТЭК России, Минздравсоцразвития России и ФСБ России.

2. Предложена оригинальная классификация МИС, позволяющая однозначно соотнести конкретную МИС с типовой моделью угроз, основанная на задачах защиты ПМДн и отличающаяся от существующих детальной типизацией.

3. Разработана новая методика обеспечения управления информационной безопасностью МИС, основанная на объединении этапов классификации и разработки модели угроз и обеспечивающая снижение временных и финансовых затрат при реализации мероприятий по защите ПМДн.

Практическая значимость результатов

1. Использование предложенных в работе типовых моделей угроз МИС, обрабатывающих ПМДн, позволяет избежать проведения специальных исследований и привлечения специалистов по защите информации на этапе предпроектного обследования.

2. Разработанные средства обеспечения управления информационной безопасностью МИС позволяют сократить временные затраты на 18-24%, финансовые затраты на 15-21% при реализации мероприятий по защите ПМДн.

3. Предложенные рекомендации по нейтрализации угроз и выполнению основных этапов обеспечения защиты ПМДн в организации системы здравоохранения, перечень отчетных документов и требуемых ресурсов по каждому этапу позволяют осуществлять контроль соответствия требованиям по защите ПДн.

Положения, выносимые на защиту:

1. Типовые модели угроз МИС, обрабатывающих ПМДн, сформированные с использованием требований ФСТЭК России, Минздравсоцразвития России и ФСБ России.

2. Классификация МИС, основанная на задачах защиты ПМДн, позволяющая однозначно соотнести конкретную МИС с типовой моделью угроз.

3. Средства обеспечения управления информационной безопасностью МИС включающие методику по приведению МИС к требованиям законодательства в области защиты ПДн и программное и обеспечение, обеспечивающие снижение временных и финансовых затрат при реализации мероприятий по защите ПМДн, обрабатываемых в МИС.

Достоверность результатов работы обеспечивается проверкой непротиворечивости и адекватности промежуточных и окончательных результатов работы и подтверждается положительным эффектом от внедрения в практику работ учреждений системы здравоохранения.

Внедрение результатов

Разработанные классификация МИС, типовые модели угроз МИС, методика по приведению МИС к требованиям законодательства в области защиты ПДн и программное обеспечение внедрены в деятельность организаций «Центральный военный клинический госпиталь им. П.В. Мандрыка» (г. Москва), «Медицинский центр №1 ФГУП Клиническая больница №81» (г. Северск, Томская область), ОГУЗ «Стоматологическая поликлиника» (г. Томск), ООО «Элекард-Мед» (г. Томск), ООО «НПФ «Информационные системы безопасности» (г. Томск), а также в учебный процесс ТУ СУР.

Личный вклад

В диссертационной работе использованы результаты, в которых автору принадлежит определяющая роль. Часть из опубликованных работ написана в соавторстве с сотрудниками научной группы. В совместных работах диссертант принимал участие в непосредственной разработке классификации МИС на типы, основанной на задачах защиты ПМДн, моделей угроз МИС, методики по приведению МИС к требованиям законодательства в области защиты ПДн и программного средства. Постановка задач исследований осуществлялась научным руководителем, д.т.н., профессором А.А. Шелупановым.

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на заседаниях кафедры Комплексной информационной безопасности электронно-вычислительных систем ТУ СУР и на следующих конференциях и семинарах:

1. Всероссийские научно-технические конференции студентов, аспирантов и молодых ученых «Научная сессия ТУ СУР» (2007-2010 гг.).

2. Томские — IEEE семинары «Интеллектуальные системы моделирования, проектирования и управления» (2007-2010 гг.).

3. Всероссийская научно-практическая конференция с международным участием «Информационные технологии в профессиональной деятельности и научной работе», г. Йошкар-Ола, 2007 г.

4. Семинар Управления здравоохранения г. Томска по проблемам реализации Федерального закона №152-ФЗ «О персональных данных», 18 сентября 2009 г.

5. X-XII Всероссийские научно-практические конференции «Проблемы информационной безопасности государства, общества и личности», гг. Барнаул, Томск, Красноярск, 2008-2010 гг.

Публикации по теме диссертации

Результаты диссертационной работы отражены в 13 публикациях, в том числе 5 публикаций в рецензируемых журналах из перечня ВАК. Имеется свидетельство о регистрации программного обеспечения «Модели угроз медицинских информационных систем» в объединенном фонде электронных ресурсов «Наука и Образование» Института научной информации и мониторинга РАО (№ 15856).

Структура и объем диссертации

Диссертация состоит из введения, трех глав, заключения, списка литературы из 102 наименований, 2 приложений. Общий объем работы составляет 121 страницу, в том числе 12 рисунков и 20 таблиц.

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Зыков, Владимир Дмитриевич

3.6. Выводы по главе

Для автоматизации процесса классификации МИС, выбора соответствующей модели угроз и определения рекомендуемых организационно-технических мероприятий по защите ПМДн в МИС разработано алгоритмическое и программное обеспечение «Модели угроз медицинских информационных систем».

Проведенное сравнение с аналогами показало важную отличительную особенность разработанного программного обеспечения - возможность его использования специалистами учреждения системы здравоохранения, не имеющими специальных знаний в области защиты информации.

Разработанная методика по приведению МИС к требованиям законодательства в области защиты ПДн ориентирована на руководителя и сотрудника, ответственного за обеспечение безопасности ПМДн, и содержит рекомендации и последовательность по выполнению основных этапов обеспечения защиты ПМДн, перечень отчетных документов и требуемых ресурсов по каждому этапу.

Особенностью разработанной методики является объединение на этапе предпроектного обследования этапов классификации и разработки модели угроз за счет типизации.

Согласно разработанной методике на этапе предпроектного обследования отсутствует один из наиболее трудоемких процессов - процесс разработки модели угроз, вместо него производится выбор типовой модели угроз.

В результате использования методики определяется перечень рекомендуемых организационно-технических мероприятий по защите ПМДн в МИС. Это значительно упрощает последующий этап определения требуемых мероприятий по защите ПМДн в МИС и позволяет осуществлять контроль соответствия требованиям по защите ПДн.

Эффективность и достоверность разработанных моделей и средств обеспечения управления информационной безопасностью МИС подтверждена результатами внедрения в медицинские учреждения РФ. Снижение временных затрат при реализации мероприятий по защите ПМДн составило 18-24%, финансовых затрат - 15-21%. При этом не требовалось привлечение сторонних специалистов и дополнительных финансовых затрат. Оставшиеся этапы по выбору и реализации организационных и технических мероприятий выполнялись с привлечением сторонних специалистов и потребовали равные затраты, а также подтвердили отсутствие необходимости доработки моделей угроз, полученных с использованием разработанной методики.

ЗАКЛЮЧЕНИЕ

В результате проведенных диссертационных исследований поставленная цель по разработке моделей медицинских информационных систем и средств обеспечения управления их информационной безопасностью достигнута. Получены следующие основные результаты.

1. Проведен анализ требований законодательства по защите ПМДн, в методологии функционального моделирования IDEF0 определен перечень мероприятий по защите ПМДн, обрабатываемых в МИС. Показана важность этапов классификации и разработки модели угроз, рассмотрены недостатки существующей методики по их выполнению. Сделан вывод о том что, самостоятельная разработка моделей угроз учреждениями системы здравоохранения невозможна без специалистов по защите информации или привлечения специализированных организаций.

2. Впервые сформированы модели угроз для выявленных типов МИС в соответствии с требованиями ФСТЭК России, Минздравсоцразвития России и ФСБ России. Для каждой из актуальных угроз были предложены одно или несколько рекомендуемых мероприятий по их предотвращению.

3. Разработана новая классификация МИС на 56 типов, основанная на задачах защиты ПМДн, учитывающая специфику МИС и позволяющая однозначно соотнести конкретную МИС с типовой моделью угроз. Для проведения классификации на типы выявлены общие свойства МИС и сформированы критерии и признаки для их классификации. Разработан алгоритм классификации, представленный в виде ориентированного графа.

4. Предложена новая методика по приведению МИС к требованиям законодательства в области защиты ПДн, отличительной особенностью которой является объединение этапов классификации и разработки модели угроз за счет типизации. Методика позволяет снизить временные и финансовые затраты при реализации мероприятий по защите ПМДн в МИС, а также осуществлять контроль соответствия требованиям.

5. Разработано оригинальное алгоритмическое и программное обеспечение «Модели угроз медицинских информационных систем» позволяющее осуществлять классификацию МИС, определять соответствующую модель угроз и рекомендуемые мероприятия по защите ПМДн без привлечения специалистов по защите информации.

6. Проведено экспериментальное исследование эффективности разработанных моделей и средств обеспечения управления информационной безопасностью МИС в медицинских учреждениях РФ. Снижение временных затрат при реализации мероприятий по защите ПМДн составило 18-24%, финансовых затрат — 15-21%.

Список литературы диссертационного исследования кандидат технических наук Зыков, Владимир Дмитриевич, 2010 год

1. Эльянов, М.М. Медицинские информационные технологии / М.М. Эльянов / Каталог. Вып. 7, 2007. С. 300.

2. Шульман, Е.И. Экономическая эффективность клинической информационной системы нового поколения / Е.И. Шульман, Г.З. Рот // Врач и информационные технологии, 2004. № 7. - М.: ИД «Менеджер здравоохранения» - С. 30-39.

3. Романов, Д-Н. Внедрение промышленной медицинской информационной системы с заменой морально устаревших программных решений / Д.Н. Романов, А.А. Борейко // Врач и информационные технологии, 2010. — № 1. М.: ИД «Менеджер здравоохранения» - С. 30-35.

4. Гусев, А.В. Обзор рынка комплексных медицинских информационных систем / А.В. Гусев // Врач и информационные технологии, 2009. №6. - М.: ИД «Менеджер здравоохранения» - С. 4-17.

5. Гулиева, И.Ф. Медицинские информационные системы: затраты и выгоды / И.Ф. Гулиева, Е.В. Рюмина, Я.И. Гулиев // Врач и информационные технологии, 2009. №3. - М.: ИД «Менеджер здравоохранения» - С. 4-16.

6. Мартыненко, В.Ф. Информационные технологии в повышении качества медицинской помощи / В.Ф. Мартыненко // Врач и информационные технологии, 2009. №5. - Ч. 1 - М.: ИД «Менеджер здравоохранения» - С. 4-10.

7. Серегина, И.Ф. Информационные технологии в повышении качества медицинской помощи / И.Ф. Серегина, В.Ф. Мартыненко // Врач и информационные технологии, 2009. №6. - Ч. 2 - М.: ИД «Менеджер здравоохранения».— С. 18-24.

8. Постановление Правительства Российской Федерации от 28 января 2002 г. № 65 Мероприятия федеральной целевой программы «Электронная Россия (2002-2010 годы)»

9. Пашкина, Е.С. О программах информатизации здравоохранения России (обзор) / Е.С. Пашкина, Т.В. Зарубина // Врач и информационные технологии, 2009. №6. - М.: ИД «Менеджер здравоохранения». - С. 46-57.

10. Орлинский, Д.Б. Медицинская статистика до и после внедрения комплексной МИС / Д.Б. Орлинский, К.И. Лазарев // Врач и информационные технологии, 2009. №6. - М.: ИД «Менеджер здравоохранения». - С. 34-38.

11. Берсенева, Е.А. Внедрение комплексной автоматизированной информационной системы, реализованной с использованием технологии Workflow, как неотъемлемый этап развития медицинского учреждения / Е.А.

12. Берсенева, Г.Н. Голухов // Врач и информационные технологии, 2010. №2. - М.: ИД «Менеджер здравоохранения». - С. 10-13.

13. Радченко, С.В. Основные подходы к автоматизации ЛПУ / С.В. Радченко // Врач и информационные технологии, 2008. — №6. — М.: ИД «Менеджер здравоохранения». С. 26-34.

14. Кобринский, Б.А. Перспективы и пути интеграции информационных медицинских систем / Б.А. Кобринский // Врач и информационные технологии, 2009. №4. - М.: ИД «Менеджер здравоохранения». - С. 4-11.

15. Емелин, И.В. Всемирная стандартизация медицинской информатики / И.В. Емелин // Врач и информационные технологии, 2009. №3. - М.: ИД «Менеджер здравоохранения». - С. 28-32.

16. Емелин, И.В. Интерфейсы работы с медицинским оборудованием и стандарты передачи медицинской информации / И.В. Емелин // Газета «Компьютер-Информ», 18 января, 2006. -№23.

17. ГОСТ Р 52636-2006 Электронная история болезни. Общие положения. Утвержден и введен в действие Приказом Федерального агентства потехническому регулированию и метрологии Российской Федерации от 27 декабря 2006 г. № 407-ст.

18. Международный стандарт ISOH/TR 20514:2005 Информационные технологии в медицине Электронная медицинская запись - Определение, назначение, содержание (Health informatics - Electronic health record -Definition, scope and context)

19. Тарасенко, Ф.П. Прикладной системный анализ Томск: Изд—во Том. унта, 2004,- 186 с.

20. Зыков, В.Д. Определение требований к системам защищенного электронного документооборота / В. Д. Зыков, П. А. Мельниченко, А.Ю. Шкредов // Безопасность информационных технологий — М., 2007. — Вып. 4.-С. 47-51.

21. Фролов, С.В. Автоматизированная информационная система телемедицинского консультирования / С.В. Фролов, М.А. Лядов // Врач и информационные технологии, 2010. №3. — М.: ИД «Менеджер здравоохранения». - С. 57-65.

22. Батурин, Н.А. Критерии выбора тиражной МИС / Н.А. Батурин. // Врач и информационные технологии, 2010. №2. — М.: ИД «Менеджер здравоохранения». - С. 14-18.

23. Каменщиков, А.А. Особенности разработки стандартов в медицинской информатике / А.А. Каменщиков // Врач и информационные технологии, 2009. №4. - М.: ИД «Менеджер здравоохранения». - С. 36-41.

24. ГОСТ Р ИСО/ТС 18308-2008 Информатизация здоровья. Требования к архитектуре электронного учета здоровья

25. ГОСТ Р 52976-2008 Информатизация здоровья. Состав первичных данных медицинской статистики лечебно-профилактического учреждения для электронного обмена этими данными. Общие требования

26. ГОСТ Р 52977-2008 Информатизация здоровья. Состав данных о взаиморасчетах за пролеченных пациентов для электронного обмена этими данными. Общие требования

27. ГОСТ Р 52978-2008 Информатизация здоровья. Состав данных о лечебно-профилактическом учреждении для электронного обмена этими данными. Общие требования

28. ГОСТ Р 52979-2008 Информатизация здоровья. Состав данных сводного регистра застрахованных граждан для электронного обмена этими данными. Общие требования

29. Эльянов, М.М. Компьютеризация отечественной медицины: движение вперед или топтание на месте / М.М. Эльянов // Тезисы докладов 4-го Международного форума «MedSoft-2006» М., 2006. - С. 64-70.

30. Гусев, А.В. Обзор функциональных возможностей российских медицинских информационных систем / А.В. Гусев // Менеджер здравоохранения, 2006. — №12. М.: ИД «Менеджер здравоохранения». — С. 22-30.

31. Гусев, А.В. Перспективы рынка комплексных медицинских информационных систем / А.В. Гусев, Ф.А. Романов, И.П. Дуданов // Врач и информационные технологии, 2006. №5. - М.: ИД «Менеджер здравоохранения». - С. 32-43.

32. Карась, С.И. Перспективы разработки двухуровневых информационных систем в здравоохранении / С.И. Карась, Е.Е. Сизов, П.Н. Кетов // Врач и информационные технологии, 2010. №3. — М.: ИД «Менеджер здравоохранения». - С. 4-6.

33. Николаев, Н.С. Опыт внедрения ГИС МЕДИАЛОГ в федеральных центрах высокотехнологичной медицинской помощи / Н.С. Николаев, В.Э. Бариева, Д.Б. Орлинский // Врач и информационные технологии, 2010. — №3. М.: ИД «Менеджер здравоохранения». - С. 26-30.

34. Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.).

35. Закон от 2 июля 1992 года № 3185-1 «О психиатрической помощи и гарантиях прав граждан при ее оказании» (в ред. федерального закона от 21.07.98 № 117-ФЗ)

36. Закон РФ «О трансплантации органов и (или) тканей человека» от 22 декабря 1992 г. № 4180-1 (с изменениями от 20 июня 2000 г., 16 октября2006 г.)

37. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № ЗбЗ-ФЗ, от 28.06.2010 № 123-Ф3, от 27.07.2010 № 204-ФЗ).

38. Постановление Правительства Российской Федерации от 17 ноября2007 г. № 781 г. Москва «Об утверждении Положения об обеспечениибезопасности персональных данных при их обработке в информационных системах персональных данных».

39. Нормативно-методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.

40. Нормативно-методический документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года.

41. Нормативно-методический документ ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года.

42. Нормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.

43. Нормативно-методический документ Минздравсоцразвития России «Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» от 23 декабря 2009 года.

44. Аналитические материалы Минздравсоцразвития России «Модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ)», 2009 год.

45. Шумский, А. А. Системный анализ в защите информации / А. А. Шумский, А. А. Шелупанов. М.: Гелиос АРВ, 2005. - 224 с.

46. Приказ Россвязькомнадзора № 08 от 17.07.08 г. «Об утверждении образца формы уведомления об обработке персональных данных».

47. Федеральный закон от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» (в ред. Федерального закона от 08.11.2007 № 258-ФЗ)

48. Постановление Министерства труда Российской Федерации от 27 августа 1997 года № 43 «О согласовании разрядов оплаты труда и тарифно-квалификационных характеристик по должностям работников здравоохранения Российской Федерации»

49. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

50. Решение ФСТЭК России от 5 марта 2010 года Электронный ресурс. -Режим доступа: http://www.fstec.ru/docs/doc781l.htm

51. Столбов, А.П. Аннотированный перечень организационно-распорядительных документов по защите персональных данных в медицинском учреждении / А.П. Столбов // Врач и информационные технологии, 2010. — №1. М.: ИД «Менеджер здравоохранения». - С. 4-20.

52. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».

53. Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности».

54. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации».

55. Административный регламент ФСТЭК России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г. № 181

56. Шахалов, И.Ю. Лицензирование как продукт осознанной необходимости / И.Ю. Шахалов // Журнал «Защита информации. Инсайд», 2010-№2.

57. Ищейнов, В.Я. Защита конфиденциальной информации / В.Я. Ищейнов, М.В. Мецатунян- М.: ФОРУМ, 2009. 256с.

58. Андрущенко А. Опыт проектирования системы защиты персональных данных телекоммуникационного оператора / А. Андрущенко // Журнал «Information Security/ Информационная безопасность», 2009 №2. С. 42-47.

59. Курило, А.П. Аудит информационной безопасности / А.П. Курило, 2006 М.: Издательская группа «БДЦ-пресс» - 304с.

60. Девянин П.Н., Теоретические основы компьютерной безопасности: Учебное пособие для вузов / П. Н. Девянин и др.. М. : Радио и связь, 2000. - 192 с.

61. Зингерман, Б.В. Парадоксы защиты персональных данных / Б.В. Зингерман // Врач и информационные технологии, 2010. №4. - М.: ИД «Менеджер здравоохранения». - С. 42-47.

62. Щербаков, А.Ю. Современная компьютерная безопасность. Практические аспекты / А.Ю. Щербаков М.: Книжный мир, 2009. - 352 с.

63. Столбов, А.П. Автоматизированная обработка и защита персональных данных в медицинских учреждениях / А.П. Столбов, П.П. Кузнецов М.: ИД «Менеджер здравоохранения», 2010. - 176 с.

64. Зыков, В.Д. Структура программного обеспечения системы защиты рабочего места обработки персональных медицинских данных / В.Д. Зыков //

65. Доклады Томского государственного университета систем управления и радиоэлектроники. 2008. - № 2(18). - С. 75-77.

66. Фролов, С.В. Современные особенности развития медицинских информационных систем. / С.В. Фролов, С.Н. Маковеев, С.В. Семенова // Врач и информационные технологии, 2010. №2. - М.: ИД «Менеджер здравоохранения». - С. 4-9.

67. Герасименко, В.А. Основы защиты информации / В. А. Герасименко, А. А. Малюк. М.: Изд-во МИФИ, 1997. - 537 с.

68. Литвак, В.Г. Экспертная информация. Методы получения и анализа / В. Г. Литвак. М. : Радио и связь, 1982. - 184 с.

69. Нейлор, К. Как построить свою экспертную систему / К. Нейлор. М. : Энергоатомиздат, 1991.-286с.

70. Попов, Е. В. Экспертные системы / Е. В. Попов. М. : Наука, 1987. -288 с.

71. Рыбина, Г. В. Технология проектирования прикладных экспертных систем / Г. В. Рыбина. М. : МИФИ, 1991. - 104 с.

72. Уотермен, Д. Руководство по экспертным системам / Д. Уотермен. М.: Мир, 1989.-388 с.

73. Бешелев, С.Д. Математико-статистические методы экспертных оценок. М.: Статистика, 1974. - 159 с.

74. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология -Практические правила управления информационной безопасностью»

75. Зыков, В.Д. Информационная безопасность портала университета / Ю.П. Ехлаков, Е.Д. Головин, В.Д. Зыков // Доклады Томского государственного университета систем управления и радиоэлектроники. — 2007.-№2(16).-С. 25-28.

76. Программный комплекс WingDoc ПД модель угроз ИСПДн Электронный ресурс. — Режим доступа: http://www.wingdoc.ru/products/wingdocpd/

77. Ерохин, С.С. Оценка защищенности информационных систем электронной коммерции. / С.С. Ерохин, Р.В. Мещеряков, С.С. Бондарчук // Информация и безопасность. Воронежский государственный технический университет, 2009. №2. - С. 195-206.

78. Белов, Е.Б. Основы информационной безопасности. Учебное пособие для вузов. / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов — М.: Горячая линия-Телеком, 2006. 544 с.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.