Безпека електронної системи охорони здоровʼя

Від початку побудови електронної системи охорони здоровʼя (ЕСОЗ) захист даних завжди був пріоритетним завданням. ЕСОЗ – одна з систем в Україні, в якій реалізовані найсучасніші засоби захисту, серед яких: використання користувачами кваліфікованих електронних підписів (КЕП), реалізація архітектурних принципів GDPR (відокремлене зберігання медичних та персональних даних), blockchain-подібні алгоритми, що забезпечують цілісність даних та інші. Так, лише на вході в систему користувачі проходять двофакторну авторизацію: через встановлену МІС та безпосередньо вхід в ЕСОЗ за протоколом OAuth.2.

​​Система має багаторівневий захист та отримала  атестат відповідності комплексної системи захисту інформації. 

Також кожен МІС, що підключений до ЦБД, повинен мати атестат відповідності комплексної системи захисту інформації (КСЗІ) відповідно до норм українського законодавства. 

 Ця вимога передбачена Законом України “Про захист інформації в інформаційно-комунікаційних системах” та іншими нормативно-правовими актами щодо підключення МІС до центральної бази даних ЕСОЗ.

Сьогодні наша держава бореться із загарбником на всіх фронтах і кіберфронт не є винятком. На рівні центральної бази даних адміністратор забезпечує проведення необхідних заходів із захисту інформації та попереджає реальні та потенційні атаки ворога.

Проте захист інформації також не менш важливий і на робочому місці кожного користувача. Для цього закладам охорони здоров’я необхідно: 

🔹регулярно оновлювати програмне забезпечення (зокрема,операційних систем, систем керування базами даних, програмних бібліотек тощо);

🔹контролювати цілісність та автентичність ПЗ; 

🔹забезпечувати мережевий захист: фільтрація та аналіз мережевого трафіку, виявлення і протидія мережевим атакам і т. д.;

🔹унеможливлювати втрату інформації, забезпечити резервне копіювання даних, захист від несанкціонованого доступу, розмежування прав доступу тощо;

🔹забезпечувати реєстрацію подій, пов’язаних з отриманням користувачами доступу до ресурсів ЗОЗ;

🔹проводити резервування конфігураційних файлів та критично важливих системних файлів;

🔹проводити перевірку кваліфікованого електронного підпису на інформаційних об’єктах в ЗОЗ її користувачами;

🔹забезпечувати антивірусний захист, перевірку на наявність шкідливого програмного коду всіх вкладень, що завантажуються користувачами до ЗОЗ.

Для забезпечення виконання всіх цих заходів доцільно в закладах охорони здоров’я визначити відповідальних за це осіб або ж створити відповідні ІТ підрозділи, а також забезпечити контакт таких осіб чи підрозділів зі службами підтримки медичних інформаційних систем, які працюють у закладі.

Також рекомендуємо
21 Серпня 2023
ДП «Електронне здоров’я» взяло участь у програмі для жінок-лідерів у сфері цифрової трансформації в Лондоні

Учасниці Лідерської програми для жінок, залучених до цифрової трансформації в українських міністерствах, ознайомлювалися із британським досвідом побудови державних цифрових послуг під час 3-денного навчального туру в Лондоні.

З 1 по 3 серпня 15 жінок, які займають ключові ролі в українських відомствах, обмінювалися досвідом та брали участь в лекціях про світові кейси державної цифровізації, інклюзивний дизайн державних послуг, трансформацію всіх послуг і мереж соціального захисту на прикладі Universal Credit, а також відвідали урядову організацію Government Digital Service (GDS), яка відповідає за цифрову трансформацію у Великій Британії.
  «Причина, чому GDS існує, полягає в тому, щоб максимально спростити взаємодію з урядом та громадянами для кінцевих користувачів», — розповів учасницям CEO GDS Том Рід.

Одним із найбільш масштабних проєктів GDS стало створення єдиної платформи із електронними послугами GOV.UK у 2012 — вона замінила 1800 різних сайтів, що існували досі.
 Колишній високопосадовий представник Government Digital Service Ендрю Грінвей також поділився своїм досвідом та висновками із реалізації цифрових проєктів. Свого часу він, наприклад, очолював команди, які розробили перший у країні стандарт цифрових послуг та посібник із дизайну.

Говорили також про GOV.UK pay — це послуга з безпечних онлайн-платежів для державних і громадських організацій. А також цифрову ідентифікацію та дизайн, орієнтований на користувача. Організація керується 10 принципами дизайну, що допомагають командам створювати та запускати нові державні послуги. Найперший з них — про користувачів: «Розумійте користувачів та їхні потреби».


Окрема увага — доступності. Вона лежить в основі усіх розробок, адже «кожна послуга — для кожного». А «доступний дизайн — хороший дизайн».

 Представниці з Мінцифри також поділилися з британськими колегами досвідом української цифровізації та державних послуг у Дія.  На завершення усі учасниці змогли познайомитися із місцевим самоврядування та говорили про лідерство і роботу у міждисциплінарних командах під час кризи.

«Такі навчальні тури, по-перше, – це прекрасний час для нетворкінгу, а по-друге, можливість збагатити досвід цифрової трансформації, перейнявши певні практики від колег та поділившись своїми цінними кейсами. Усі, хто працює у цій сфері погодиться, що цифрова трансформація — це не змінити сайт урядової установи, а змінити, як саме вона працює», – зазначає Юлія Задеряка, керівник відділу комунікацій та розвитку ДП «Електронне здоров’я», яка була однією із учасниць візиту.

Підсумовуючи теми обговорень з міжнародними колегами, вона зауважила, що під час створення державних послуг на першому місці мають бути потреби громадян, а не зручність для уряду: «Визначальна якість, якої треба дотримуватися у процесі змін, – це доступність, адже для всіх громадян треба забезпечити інклюзивний доступ до державних послуг. Щоб досягати успіху і працювати на результат, а не просто заради процесу, у першу чергу треба пам’ятати про клієнтоорієнтований підхід – збирати фідбеки, досліджувати досвід взаємодії із послугами і вдосконалювати їх на основі цих відгуків».

Навчальний візит до Лондона став частиною Лідерської програми для жінок, залучених до цифрової трансформаціі в українських міністерствах. Їх організували у межах «Проєкту підтримки Дія», що Програма розвитку ООН в Україні реалізує за фінансової підтримки Уряду Швеції.

20 Жовтня 2022
На платформі Академії НСЗУ оновлено курс “Особливості створення електронного рецепта”
До уваги лікарів!
Нещодавно на платформі Академії НСЗУ було оновлено курс “Особливості створення електронного рецепта”.
Цей курс було оновлено у зв’язку з розширенням функціоналу виписування е-рецепта на наркотичні (психотропні) лікарські засоби.
НАВЧАННЯ ВАЖЛИВО ПРОЙТИ:
🔹 лікарям первинної медичної допомоги;
🔹 лікарям спеціалізованої медичної допомоги;
🔹 всім лікарям, які здійснюють призначення рецептурних лікарських засобів пацієнтам.
✔Для тих, хто ще не проходив навчання – реєструйтеся вже зараз за посиланням –
✔Для тих, хто вже проходив курс по е-рецепту на антибіотики – ознайомтеся з оновленнями –
💡 Курс “Особливості створення електронного рецепта” зареєстровано у Системі БПР (кількість балів за курсом: 10 БПРЛ).
Курс розроблений командою НСЗУ Національна служба здоров’я України та ДП «Електронне здоров’я» за підтримки Міністерство охорони здоров’я України.
31 Липня 2023
Щодо продовження функціонування РІМС «Медстар» в ЕСОЗ

З метою комплексної оцінки взаємодії медичних інформаційних систем з центральною базою даних електронної системи охорони здоров’я ДП “Електронне здоровʼя” здійснює регулярні заходи з тестування всіх без винятку електронних медичних інформаційних систем щодо їх відповідності актуальним технічним вимогам.

Ці заходи є необхідними задля того, щоби всі без обмежень медичні працівники мали повноцінний доступ до всіх функціональних можливостей електронної системи охорони здоров’я, а також їх високу якість та надійний сервіс.

У ході попередньо ініційованих Адміністратором тестувань електронної медичної інформаційної системи РІМС “Медстар” було виявлено невідповідність 8 функціональних модулів вказаної МІС:

  • Модуль 3.1.2 Вимоги до реєстрації та оновлення НМП, реєстрації керівників НМП; 
  • Модуль 3.1.6 Вимоги до перегляду декларацій про вибір лікаря ПМД в НМП ПМД;
  • Модуль 3.2.1 Вимоги до роботи з деклараціями;
  • Модуль 3.3.2 Вимоги до пакету даних діагностичного звіту;
  • Модуль 3.6 Вимоги до отримання доступу до медичних даних;
  • Модуль 3.7.1 Вимоги до роботи з записами про ідентифікованих пацієнтів в Системі;
  • Модуль 3.10 “План лікування”;
  • Модуль 3.17 Вимоги до роботи з електронними направленнями.

Встановлення цієї невідповідності було безумовною підставою для відключення медичної інформаційної системи від центральної бази даних ЕСОЗ. Згідно з цим 28 червня 2023 року було ухвалено рішення про відключення РІМС “Медстар” від центральної бази даних електронної системи охорони здоровʼя 28 серпня 2023 року. 

При цьому зауважимо, що впродовж 60 днів з моменту прийняття рішення, оператор МІС мав можливість провести роботи над усуненням виявлених порушень та повторно пройти тестування на відповідність технічним вимогам. Так станом на 26.07.2023 оператор РІМС “Медстар” успішно пройшов тестування зазначених модулів та отримав підтверджуючі висновки про позитивний результат тестування. 

У звʼязку з цим, враховуючи результати тестування Адміністратором прийнято рішення щодо продовження функціонування електронної медичної інформаційної системи РІМС «Медстар» в електронній системі охорони здоровʼя задля подальшої взаємодії надавачів медичної допомоги з ЦБД ЕСОЗ.

14 Серпня 2023
МІС «HealthTech» та «Дніпро-МТ» відключено від ЦБД ЕСОЗ

Державне підприємство “Електронне здоров’я”, що відповідно до Порядку функціонування електронної системи охорони здоров’я, затвердженого постановою Кабінету Міністрів України від 25 квітня 2018 р. № 411, є  адміністратором центральної бази даних електронної системи охорони здоров’я (надалі – Адміністратор) повідомляє наступне.

Згідно наказу Адміністратора від 12.06.2023 №25, ураховуючи невідповідність функціональних можливостей МІС актуальним технічним вимогам, 12 серпня 2023 року електронні медичні інформаційні системи   “HealthTech” (ТОВ “ХОРСТЕХ”) та “МІТІС “ДНІПРО-МТ” (ТОВ “ПВП МОНТЕКС”) було відключено від центральної бази даних електронної ситеми охорони здоров’я.