Денсаулық сақтаудағы ақпараттық қауіпсіздіктің негізгі аспектілері
Қазақстан Республикасы Денсаулық сақтау министрлігінің (бұдан әрі — ҚР ДСМ) ақпараттық қауіпсіздік саясаты (бұдан әрі – АҚС) ақпараттық қауіпсіздікті қамтамасыз ету проблемасына көзқарастар жүйесін айқындайды.
Ақпараттық қауіпсіздік саласындағы қағидалар, рәсімдер, практикалық тәсілдер мен басшылық қағидаттарының жиынтығы ретінде ақпаратты қорғаудың мақсаттары мен міндеттерін, сондай-ақ ҚР ДСМ-де ақпараттың, ақпараттық ресурстардың, ақпараттандыру объектілерінің және инфрақұрылымның қауіпсіздігін қамтамасыз етудің құрылуының, ұйымдастырушылық, технологиялық және рәсімдік аспектілерінің негізгі қағидаттарын жүйелі түрде баяндайды.
ҚР ДСМ-нің әрбір ведомстволық, ведомстволық бағынысты ұйымы мен мекемесі осы Саясатқа сәйкес келетін өзінің ақпараттық қауіпсіздік ережесін (бұдан әрі – АҚЕ) әзірлейді. Мұны Атырау облыстық денсаулық саласы да басшылыққа алып отыр. Біздегі барлық медициналық мекемелер де осы үдесінен табылып келеді.
Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың 32-тармағының нормасы АҚЕ әзірлеу үшін нормативтік негіз болып табылады.
Ақпараттық жүйелер мен ресурстар, дербес деректер, дәрігерлік құпияны құрайтын, қолжетімділігі шектеулі және «қызмет бабында пайдалану үшін» деген белгісі бар деректер, сондай-ақ оны ұсыну нысаны мен түріне қарамастан, ҚР ДСМ ақпараттық жүйелерінің жұмысы үшін қажетті ашық (жалпыға қолжетімді) ақпарат қамтылуға тиіс;
ҚР ДСМ ақпараттық жүйелеріндегі ақпаратты өңдеу процестерінің, ақпараттық технологиялардың, ақпаратты жинау, өңдеу, сақтау және беру регламенттері мен рәсімдерінің, жүйелерді әзірлеушілер мен пайдаланушылар персоналының және оған қызмет көрсетуші персоналының міндеттері;
Олар Ақпаратты өңдеу және талдау жүйелерін, оны өңдеудің, берудің және бейнелеудің техникалық және бағдарламалық құралдарын, оның ішінде ақпарат алмасу және телекоммуникация арналарын, ақпаратты қорғау жүйелері мен құралдарын, ҚР ДСМ ақпараттық ортасының сезімтал элементтері орналасқан объектілер мен үй-жайларды қамтитын ақпараттық инфрақұрылым.
ҚР ДСМ ақпараттық ортасының негізгі ерекшеліктеріне мыналар жатады:
• Ақпараттық жүйелер компоненттерінің аумақтық бөлінуі;
• ақпаратты өңдеу мен берудің әртүрлі техникалық құралдарын бірыңғай жүйеге біріктіру;
• ақпараттық жүйелерді пайдаланушылардың үлкен саны;
• ақпараттық жүйелерде сақталатын және берілетін ақпараттың маңыздылығы;
• деректер базасында әртүрлі мақсаттар, керек-жарақтар мен құпиялылық деңгейлері туралы ақпаратты біріктіру;
• деректер иелерінің физикалық құрылымдардан және деректерді (ақпаратты) орналастыру орнынан шеттетілуі;
• «сыртқы әлеммен» өзара әрекеттесудің көптеген ақпараттық арналарының болуы (ақпарат көздері мен тұтынушылары);
• ақпараттық жүйелердің үздіксіз жұмыс істеуін қамтамасыз ету қажеттілігі;
• ақпараттық ағындардың жоғары қарқындылығы.
ҚР ДСМ ішінде айналымдағы ақпарат ашық және құпия болып бөлінеді. ҚР ДСМ құпия ақпараты дәрігерлік құпия және дербес деректер болып бөлінеді.
Құпиялылықтың басты талабы-тек уәкілетті тұлғаларға ақпарат беруді қамтамасыз ету. ҚР ДСМ және ведомстволық бағынысты ұйымдардың барлық қызметкерлері ҚР ДСМ-мен еңбек шарты аяқталғаннан кейін белгілі бір уақытта алынған ақпараттың құпиялылығын сақтау шартымен ҚР ДСМ құпия ақпаратын жарияламау туралы міндеттемеге қол қоюы тиіс.
Құпия ақпаратты ашық түрде берудің ашық арналары арқылы беруге тыйым салынады.
Ақпараттық қауіпсіздік саясатын немесе ақпараттық қауіпсіздік бойынша өзге де нормативтік-техникалық құжаттардың талаптарын бұзу фактілері анықталған кезде ҚР ДСМ басшылығы ықтимал залалды азайту және штаттық жұмыс істеуін қалпына келтіру (қажет болған жағдайда) бойынша іс-шаралар қабылдайды.
Қызметтік тексеру жүргізу үшін жұмыс тобы құрылады, оның нәтижелері бойынша:
1) тәуекелдерді қайта бағалау;
2) ақпараттық қауіпсіздік талаптарының бұзылуына жол бермеу және оларға ден қою бойынша қолданыстағы алдын алу және түзету іс – шараларының тиімділігін талдау, ал қажет болған кезде-оларды кейіннен іске асыра отырып, қосымша алдын алу және түзету іс-шараларын әзірлеу;
3) ақпараттық қауіпсіздік талаптарын бұзуға жол берген қызметкерлерді, әкімшілерді және ақпараттық жүйелерді пайдаланушыларды жауапкершілікке тарту болып табылады.
ҚР ДСМ барлық қызметкерлері осы ақпараттық қауіпсіздік талаптарын сақтау үшін жауап береді.
Осы ақпараттық қауіпсіздік ережелерін, ақпараттық қауіпсіздік бойынша басқа да құжаттардың талаптарын бұзған тұлғалар Қазақстан Республикасының қолданыстағы заңнамасына сәйкес тәртіптік немесе өзге де жауапкершілікке тартылады.
Жүйенің айрықша ерекшелігі қорғалатын объектілердің әртүрлі типтері — құжаттар, пациенттер үшін деректерге қол жеткізу ережелерін жеке конфигурациялау мүмкіндігі болып табылады. Осылайша, біз ерекше құпия ақпараттың белгілі бір топтары үшін қатаң шектеулер қоя аламыз — мысалы, психиатриялық диагноздар, сондай-ақ деректерге қол жеткізу мүмкіндігін икемді түрде реттей аламыз.
Медициналық ақпараттық жүйеде барлық аймақтық ішкі жүйелермен, соның ішінде дәрігер және пациент порталдарымен бірлесіп жұмыс істейді. Пациент деректеріне қол жеткізу әрекеті кезінде жүйе дәрігердің емделуші дәрігері екенін және оның деректерге қол жеткізуге қажетті құқықтары бар-жоғын тексереді. Науқас «Электрондық денсаулық құжаты» аймақтық порталының жеке кабинетінде оның медициналық картасын қай дәрігерлер мен медициналық мекемелер қарағанын көреді және өз қалауы бойынша кіруге тыйым сала алады немесе шектей алады.
Бұл тәсіл менеджерлер мен пациенттер үшін жүйені ашық етеді, сенімді арттырады және әртүрлі деңгейлердегі деректер қауіпсіздігінің бұзылуын қадағалауға көмектеседі.
Ақпараттық қауіпсіздік жүйесі негізгі жүйеден бөлінбей жұмыс істеген жағдайда ғана ақпараттық жүйені дұрыс жұмыс істейтіндігі туралы айтуға болады. Бұл ретте ақпараттық жүйелерді де, ақпараттық қауіпсіздіктің ішкі жүйелерін де дамыту бойынша шаралар кешенін пайдалануды, үнемі жаңғыртуды ұмытпау керек. Осының барлығы бүгінгі күні қалыптасып отырған құпия ақпараттың сыртқа шығуының теріс динамикасын едәуір дәрежеде азайтуы керек.
Бұл біздің өңірдегі барлық денсаулық нысандарына да қатысты болып табылады. Ақпараттық қауіпсіздікті сақтау әрбір маманға тікелей қатысты. Ол үшін нақты түсіндіру жұмыстары мен жауапкершілік талап етіледі. Мұны біз әркез назарда ұстап келеміз. Алда да осы талап үдесінен табыла береміз.
Ай-керім Әбілхатқызы,
«Салидат Қайырбекова атындағы Ұлттық ғылыми денсаулық сақтауды дамыту орталығының» Атырау облыстық филиалы директорының орынбасары