مطالعه تطبیقی سه استاندارد امنیت داده در نظام سلامت

مقدمه: سیستم های اطلاعاتی الکترونیک ، سهولت دسترسی و انتقال داده های ناشی از آن، اهمیت رعایت استانداردهای امنیت و حریم داده ها در این سیستم ها را دو چندان کرده است.روش: ابتدا ترکیبات مختلف کلیدواژه ها مورد جسـتجو قرار گرفتند. از مقالات به دست آمده، تاریخچه استـانداردهای مورد استفاده در داده های حوزه سلامت، لزوم استفاده از این استانداردها و میزان کاربرد استانداردها در سطح دنیا مطالعه گردید. سپس پرکاربردترین و معتبرترین استانداردها انتخاب شدند و پس از مطالعه متن کامل استانداردهای انتخابی، خصوصیات مورد نظر هر استاندارد استخراج و چک لیست خصوصیات جزئی به دست آمد که با کمک آن سه استاندارد انتخابی با یکدیگر مقایسه و نقاط ضعف و قوت هر یک مورد بحث و بررسی قرار گرفت.نتایج: خصوصیات استانداردهای مورد بررسی در 8 گروه و 25 زیر گروه دسته بندی شدند. iso-27799:2008 به همه ویژگی های گروه رمزنگاری توجه کرده است. hipaa به رمزگذاری در ذخیره سازی و کلید نامتقارن و pci-dss به رمزگذاری در ذخیره سازی، الگوریتم های hash و کلید نامتقارن توجه داشته است. امنیت سیستم عامل را hipaa به کار برده بودند. به امنیت رادیو شناسه، dns و تلفن همراه، فقط pci-dssfi اشاره و امنیت شبکه های بی سیم را iso-27799:2008 و pci-dss منظور کرده بودند.نتیجه گیری: با توجه به شرایط، می توان از استانداردی که در زمینه موردنظر مناسب تر است استفاده کرد. برای سامانه ای که بر روی تلفن همراه یا pdaها استفاده می شودpci-dss و زمانی که شبکه بی سیم داریم iso-27799:2008 یا pci-dss توصیه می شود و یا برای امنیت سیستم عامل hipaa مناسب می باشد. استاندارد ترکیبی که ویژگی های هر سه استاندارد مورد بررسی را دارا باشد به عنوان امن ترین روش، مدنظر است.

A Comparative Study of Three Standards of Data Security in Health Systems

Introduction: The increasing influence of ICT on health and changing information systems to electrical form makes using the information, data transmission, and also preparation printouts of information so easy that the importance of internal and external disclosure policy, data security, and confidentiality standards in these systems have been doubled.Method: At the beginning of research, all the combinations of key words were searched, then the history and importance of the health data security standards were studied. So the most prevalent and reliable standards were selected to perform the full text. For the next step the researchers extracted the properties which were used to be compared with the selected standards and finally the comparison was discussed.Results: PCIDSS, HIPAA, and ISO27799:2008 properties were classified in 8 groups and 25 subgroups. ISO27799:2008 was attended to all properties in Encryption group, but HIPAA was just attended to Encryption in storage, and asymmetric key, and PCIDSS was considered on Encryption in storage, using Hash algorithm and use of asymmetric key. Operation system security was considered only in HIPAA. Only PCIDSS standard considered RFID and DNS security and cell phone security, and PCIDSS as well as ISO27799:2008 considered wireless networks security.Conclusion: One can use the standard that is stronger in context. So, it is recommended to use PCIDSS for cell phone or PDA systems, and ISO27799:2008 or PCIDSS for wireless networks. It is better for security in operation systems to use HIPAA. Combined standard with all these three standards aspects can be used as the safest approach.