В конце прошлого года была проведена первая встреча Офиса координации развития электронного здравоохранения. Офис в качестве совещательного органа профильного министерства будет предоставлять рекомендации профильному министерству по развитию электронных проектов в медицинской отрасли.
В ходе встречи говорили о кибербезопасности медицинских учреждений. Еще до начала широкомасштабного вторжения враг начал прибегать к массовым кибератакам на объекты медицинской системы, а во время войны атаки стали регулярными. В таких условиях важно обеспечить киберзащиту медицинской защиты и персональную информацию о пациентах. Минздрав и USAID разработали руководство по киберзащите учреждений здравоохранения.
Конфиденциальность
Весь персонал должен знать о чувствительном характере медицинских и персональных данных, воздерживаться от их разглашения. Для этого необходимо регулярно проводить обучение всего персонала, по меньшей мере, раз в год.
Шифрование данных с ограниченным доступом
Хранение и передача персональной информации должна быть в зашифрованном виде.
К персональной относится любая информация, которая может быть использована для идентификации личности и медицинские данные пациента.
Алгоритмы и средства, используемые для шифрования должны отвечать требованиям Госслужбы специальной связи и защиты информации Украины.
Идентификация пользователей информационных систем
Каждый пользователь медицинских информационных систем должен иметь уникальный идентификатор (учетную запись, логин) и пароль входа в систему.
Контроль доступа к информации
Информационные ресурсы заведения защищаются путем использования системы контроля доступа. Система контроля доступа должна идентифицировать каждого пользователя в соответствии с его идентификатором и предотвращать доступ и использование информационных ресурсов заведения неавторизованными пользователями. Система контроля доступа включает как внутренние средства защиты (пароли, шифрование данных, таблицы контроля доступа, настройки пользовательских интерфейсов и т.п.), так и внешние (устройства защиты портов, брандмауэры, аутентификацию на основе хоста и т.п.).
Цельность данных пациентов
Заведение должно поддерживать внедрение автоматизированных систем и программного обеспечения для автоматической проверки наличия человеческих ошибок при обработке данных пациентов. Данные пациентов, хранящихся в медицинском учреждении, должны иметь резервную копию. При создании резервных копий и их хранении следует обязательно проводить их регулярную проверку.
Доступность медицинской информации
Медработник может получить доступ к электронной защищенной медицинской информации в случае экстренной необходимости. Решение экстренного доступа используется только тогда, когда обычные процессы оказываются недостаточными для своевременного оказания медицинской помощи.
Антивирусная защита
Антивирусное программное обеспечение устанавливается на всем рабочем оборудовании и серверах заведения и периодически обновляется.
Программное обеспечение
На внутренних компьютерах и сетях заведения должно использоваться только разрешенное для использования программное обеспечение. Установка программного обеспечения должна производиться только уполномоченным лицом (администратором). Все файлы и программы, передаваемые в электронном виде на компьютеры или сеть заведения из другого места, должны быть проверены на вирусы сразу после получения.
Также следует придерживаться следующих рекомендаций по физической безопасности учреждения:
- вход в здание в нерабочее время должен быть закрыт и контролироваться охранной сигнализацией;
- нужно периодически изменять код безопасности, предоставляемый только конкретным работникам;
- все лица, которые заходят/выходят в/из здания, должны фиксироваться 24 часа в сутки 365 дней в году;
- входная дверь в зону приема пациентов и посетителей должна всегда запираться в нерабочее время и выключаться в рабочие часы заведения;
- любое непризнанное лицо, находящееся в служебных помещениях заведения, должно немедленно выводиться из служебной зоны увидевшим его персоналом и сопровождаться в зону рецепции;
- серверное и коммуникационное оборудование должно быть расположено в помещениях с ограниченным доступом, куда нет доступа посетители. Оборудование должно устанавливаться в специализированных шкафах, закрываемых при работе;
- рабочие станции, ноутбуки и другое цифровое оборудование, находящееся в зоне, разрешенной для пребывания посетителей, должны быть обустроены специальными компьютерными замками для фиксации к установленному местоположению, что делает невозможным их вынос или перемещение от установленного местоположения;
- серверное и сетевое оборудование должно быть снабжено основным и резервным бесперебойным питанием;
- все наружные окна здания должны иметь датчики разбиения стекла, что гарантирует немедленное сообщение в охранную службу;
- противопожарная защита здания должна быть установлена в соответствии с требованиями ГСЧС Украины;
- заведение нужно оборудовать системой бесперебойного питания и дизель-генератором.
