Захист інформації при роботі з ЕСОЗ: що мають зробити медичні заклади

5 серпня 2022 о 09:14
1084

Від початку створення електронної системи охорони здоровʼя (ЕСОЗ) захист даних завжди був пріоритетним завданням. ЕСОЗ — одна з систем в Україні, в якій реалізовані найсучасніші засоби захисту, серед яких використання користувачами кваліфікованих електронних підписів, реалізація архітектурних принципів GDPR (відокремлене зберігання медичних та персональних даних), blockchain-подібні алгоритми, що забезпечують цілісність даних, та інші. Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену медичну інформаційну систему (МІС) та безпосередньо вхід в ЕСОЗ за протоколом OAuth.2.

​​Система має багаторівневий захист та отримала атестат відповідності комплексної системи захисту інформації.

Також кожна МІС, підключена до центральної бази даних, повинна мати атестат відповідності комплексної системи захисту інформації (КСЗІ) відповідно до норм українського законодавства.

Ця вимога передбачена Законом України «Про захист інформації в інформаційно-комунікаційних системах» та іншими нормативно-правовими актами щодо підключення МІС до центральної бази даних ЕСОЗ.

Сьогодні наша держава бореться із загарбником на всіх фронтах, і кіберфронт не є винятком. На рівні центральної бази даних адміністратор забезпечує проведення необхідних заходів із захисту інформації та попереджає реальні та потенційні атаки ворога.

Як забезпечити захист інформації на робочому місці

Проте захист інформації також не менш важливий і на робочому місці кожного користувача. Для цього закладам охорони здоров’я необхідно:

  • регулярно оновлювати програмне забезпечення (зокрема, операційних систем, систем керування базами даних, програмних бібліотек тощо);
  • контролювати цілісність та автентичність програмного забезпечення;
  • забезпечувати мережевий захист: фільтрація та аналіз мережевого трафіку, виявлення і протидія мережевим атакам і т.д.;
  • унеможливлювати втрату інформації, забезпечити резервне копіювання даних, захист від несанкціонованого доступу, розмежування прав доступу тощо;
  • забезпечувати реєстрацію подій, пов’язаних з отриманням користувачами доступу до ресурсів закладу охорони здоров’я;
  • проводити резервування конфігураційних файлів та критично важливих системних файлів;
  • проводити перевірку кваліфікованого електронного підпису на інформаційних об’єктах у закладах охорони здоров’я її користувачами;
  • забезпечувати антивірусний захист, перевірку на наявність шкідливого програмного коду всіх вкладень, що завантажуються користувачами до ЕСОЗ.

Для забезпечення виконання всіх цих заходів доцільно в закладах охорони здоров’я визначити відповідальних за це осіб або ж створити відповідні ІТ-підрозділи, а також забезпечити контакт таких осіб чи підрозділів зі службами підтримки МІС, які працюють у закладі.

Долучайтеся до нас у Viber-спільноті, Telegram-каналі, Instagram, на сторінці Facebook, а також Twitter, щоб першими отримувати найсвіжіші та найактуальніші новини зі світу медицини.

Редакція журналу «Український медичний часопис» за матеріалами moz.gov.ua