Данный пресс-релиз был опубликован на сайте NIST 23 июля 2015 года.
Национальный центр компетенции по вопросам кибербезопасности (National Cybersecurity Center of Excellence, NCCoE) выложил для общественного обсуждения проект первого руководства из новой серии публикаций, которые покажут коммерческим и иным организациям, как можно улучшить свою кибербезопасность, используя основанные на стандартах доступные на рынке коммерческие продукты или инструменты с открытым исходным кодом. Опубликованное сегодня пошаговое руководство (см. https://nccoe.nist.gov/projects/use_cases/health_it/ehr_on_mobile_devices ) показывает, как поставщики медицинских услуг могут сделать мобильные устройства, такие как смартфоны и планшеты, более безопасными с тем, чтобы лучше защитить информацию о пациентах, продолжая одновременно в полной мере использовать достижения информационно-коммуникационных технологий.
Полный комплект материалов, включающий разделы руководства и вспомогательные документы, можно скачать одним файлом по адресу:
https://nccoe.nist.gov/sites/default/files/nccoe/NIST_SP1800-1a-e_Draft_HIT_Mobile.zip
Центр компетенции NCCoE был создан в 2012 году совместно Национальным институтом стандартов и технологии (NIST) Министерства торговли США, штатом Мэриленд и округом Монтгомери этого штата. С самого начала центр налаживал партнерские отношения с организациями отраслей и с научными кругами для выявления проблем в области кибербезопасности и разработки типовых решений в таких отраслях, как здравоохранение, энергетика и финансовые услуги.
«Центр NCCoE был создан специально для того, чтобы помочь организациям в решении реальных проблем, и данный вопрос представляет первостепенный интерес для сообщества специалистов сферы здравоохранения», - говорит директор NCCoE Донна Додсон (Donna Dodson). «Предлагаемое руководство может помочь поставщикам защитить критически-важную информацию о пациентах таким образом, чтобы это не мешало оказанию качественных медицинских услуг».
Кража любых персональных данных может иметь негативные финансовые последствия, однако утечка медицинской информации подрывает самые основы неприкосновенности частной жизни. В медицине преступления типа «кражи личности» уже приводят к ежегодным потерям в миллиарды долларов, а измененная медицинская информация может подвергнуть опасности здоровье человека вследствие риска неправильной постановки диагноза, задержек с лечением или выписки неправильных лекарств. В то же время рост масштабов использования мобильных устройств для хранения, доступа и передачи электронных медицинских документов опережает развитие средств обеспечения безопасности и защиты персональных данных для этих устройств.
Руководство «Обеспечение защиты электронных документов на мобильных устройствах (Securing Electronic Records on Mobile Devices) предлагает специалистам по внедрению информационных технологий и инженерам по безопасности детально проработанную архитектуру с тем, чтобы они могли «скопировать» (или воссоздавать с применением других, но похожих технологий) описанные в руководстве характеристики безопасности. Даны также ссылки на стандарты и своды наилучшей практики, опубликованные NIST и другими организациями, а также на правила закона HIPAA. Руководство принимает во внимание необходимость различных реализаций при различных обстоятельствах, например, при решении проблемы кибербезопасности своими силами или при передаче этого вида деятельности на аутсорсинг.
Проект руководства был разработан экспертами по кибербезопасности из организаций отрасли и научных учреждений, с учетом мнения поставщиков медицинских услуг, первыми увидевших данную проблему. Затем центр пригласил поставщиков технологий, располагающих соответствующими коммерческими продуктами, к сотрудничеству с NIST посредством соглашений о совместных научно-исследовательских и опытно-конструкторских работах (НИОКР), а также собрал по ходу работ замечания и предложения общественности.
Рабочая группа NCCoE создала виртуальную среду, имитирующую взаимодействие между мобильными устройствами и системой управления электронными медицинскими документами (ЭМК), поддерживаемой ИТ-инфраструктурой медицинской организации. Группа разработала сценарий, в котором гипотетический лечащий врач использует её мобильное устройство для регулярно выполняемых действий, таких как отправка содержащего клиническую информацию направления на консультацию к другому врачу или электронного рецепта в аптеку. Затем, используя доступные на рынке технологии, они построили решение, позволяющее повысить безопасность и защиту персональных данных.
«По опыту сотрудничества с медицинскими организациями мы знаем, что они стремятся защитить персональные данные своих пациентов и собственные данные такого рода, чтобы избежать больших расходов, связанных с утечками», - говорит Додсон. «Данное руководство способно стать ценным пополнением в наборе инструментов, которые они используют для снижения рисков».
Данное руководство является первым в новой серии специальных публикаций NIST с номером 1800, которые должны помощь компаниям защитить свои информационные системы.
Центр NCCoE просит присылать замечания предложения на проект руководства до 25 сентября 2015 года по адресу HIT_NCCoE@nist.gov .
Источник: сайт NIST
http://www.nist.gov/itl/20140723_nccoe_mobile_medical.cfm
Комментариев нет:
Отправить комментарий