Скинути
Контраст
Розмір
Сховати налаштування
Контакт-центр МОЗ
0 800 60 20 19
Укр
Англійська Українська
Пошук
Налаштування доступності
Close
Про міністерство
Стратегія Керівництво Структура Положення про міністерство Трансформація системи Європейська інтеграція Міжнародна співпраця Вакансії Міжнародні партнери Очищення влади Запобігання корупції Оголошення Внутрішній аудит Протидія та запобігання домашньому насильству Критична інфраструктура Адміністративні послуги
Воєнний стан
Громадянам Медикам Перелік вакантних посад державної служби апарату МОЗ у період воєнного стану Санкційна політика Суб'єктам господарювання
Громадянам
Заявка на лікування за кордоном Доступні ліки Здоров'я А-Я Всеукраїнський тур ЗміниТИ Звернення громадян Закупівлі ліків Громадська рада МОЗ Доступ до публічної інформації Консультації з громадськістю Безоплатна правнича допомога Опитування Створення безбар`єрного простору Рада з відновлення Охматдиту Медичний канабіс Військово-лікарські комісії МСЕК Психічне здоров'я Реабілітація Медична опіка Вакцинація Протидія COVID-19
Медичним працівникам
Оплата праці медиків Наглядові ради Єдиний вебпортал вакансій у державних та комунальних медзакладах Статті Джерела доказової медицини Безперервний професійний розвиток ICPC-2 МКФ Екстрена допомога Дайджест змін у системі охорони здоров’я Присяга лікаря Ліцензування База знань кращих практик Порядок верифікації документів про освіту
Освіта
Заклади освіти Науково-дослідні установи Вступ на спеціальності галузі знань 22 «Охорона здоров'я» ЄДКІ Інтернатура Цикли спеціалізації, тематичного удосконалення та заходи БПР у 2024 році
Пресцентр
Останні новини Анонси Інтерв'ю Контакти пресслужби
Документи
Накази МОЗ Законопроєкти Документи з питань економіки та фінансів Документи Національна рада з питань протидії туберкульозу та ВІЛ/СНІД Громадська експертиза Громадське обговорення (архів) Стратегічна екологічна оцінка Головний державний санітарний лікар України Керівник робіт з ліквідації наслідків надзвичайної ситуації (COVID-19) Консультативні, допоміжні та інші дорадчі органи при МОЗ United24 Громадське обговорення Громадська рада Регуляторна політика
Е-здоров'я
База знань eHealth Електронні рішення для обігу медичного канабісу Електронна система охорони здоров'я e-Stock Електронна інтегрована система спостереження за захворюваннями (ЕЛІССЗ) Система Meddata Кібербезпека
Контакти
Довідник
Укр
Англійська Українська
Пошук
Налаштування доступності
Контакт-центр МОЗ
0 800 60 20 19
Facebook Youtube Telegram X White
Про міністерство
Стратегія Керівництво
Структура
Підрозділи МОЗ
Положення про міністерство
Трансформація системи
Спроможна мережа медзакладів
Європейська інтеграція
Угода про асоціацію з ЄС Вступ до ЄС Програма EU4Health
Міжнародна співпраця
Міжнародна технічна допомога Бібліотека ресурсів Проєкту USAID HRS Програма Європейського Союзу EU4Health Секторальна робоча група "Охорона здоров'я" Міжнародне медичне партнерство Звіти партнерів
Вакансії
Результати конкурсів Конкурси на зайняття вакантних посад державної служби апарату Міністерства охорони здоров`я України Конкурси на зайняття вакантних посад фахівців з питань реформ апарату Міністерства охорони здоров`я України Конкурси на зайняття посад керівників закладів, підприємств, установ та організацій, що належать до сфери управління Міністерства охорони здоров’я України Конкурси на зайняття посад керівників закладів охорони здоров’я Рішення засідання конкурсної комісії Конкурси на зайняття посад керівників державних наукових установ Конкурси на зайняття посад керівників вищих навчальних закладів Конкурси на зайняття посад керівників закладів охорони здоров’я Оголошення з питань проведення конкурсів Відеозаписи засідання конкурсної комісії Оголошення про проведення відкритого відбору незалежних членів наглядової ради ДП "Медичні закупівлі України"
Міжнародні партнери Очищення влади
Запобігання корупції
Антикорупційна програма МОЗ України Декларування Відповідальність за кримінальні корупційні та пов’язані з корупцією правопорушення, адміністративні правопорушення, пов’язані з корупцією Викривачам корупції Запобігання корупції в утворених при МОЗ дорадчих органах через конфлікт інтересів Уповноважений підрозділ з питань запобігання та виявлення корупції Повідомити про корупцію Аналітичний звіт щодо випадків конфлікту інтересів членів консультативних, допоміжних та інших дорадчих органів при МОЗ Аналітичний звіт щодо оцінки корупційних ризиків під час закупівель лікарських засобів та медичних виробів, що зумовлені пандемією або здійснюються під час пандемії
Оголошення
Оголошення та специфікації
Внутрішній аудит
Протидія та запобігання домашньому насильству
Звіт щодо надання медичної допомоги постраждалим від домашнього насильства
Критична інфраструктура
Приклади заповнення документів для ідентифікації та категоризації ОКІ
Адміністративні послуги
Акредитація Ліцензування Державний нагляд (контроль) База знань – акредитація, ліцензування Архів новин
Воєнний стан
Громадянам
Медична допомога вимушеним переселенцям за кордоном
Медикам
Як будуть використовуватися кошти, що надійшли в рамках ініціативи United24 Зміцнення системи охорони здоров'я та збереження життя (Heal Ukraine)
Перелік вакантних посад державної служби апарату МОЗ у період воєнного стану Санкційна політика Суб'єктам господарювання
Громадянам
Заявка на лікування за кордоном Доступні ліки Здоров'я А-Я Всеукраїнський тур ЗміниТИ
Звернення громадян
Оголошення щодо електронного звернення Графік особистого прийому громадян
Закупівлі ліків
Громадська рада МОЗ
Склад Комісії Керівництво громадської ради Правова основа
Доступ до публічної інформації
Реєстр документів Облік публічної інформації Звіти Перелік відомостей, що містять службову інформацію в МОЗ України Відкриті дані Аналіз організації роботи зі зверненнями громадян Перелік навчальних закладів, де здобувають медичну освіту
Консультації з громадськістю
Електронні консультації з громадськістю Орієнтовні плани та звіти про проведення консультацій з громадськістю
Безоплатна правнича допомога Опитування Створення безбар`єрного простору
Рада з відновлення Охматдиту
Члени Ради з відновлення Протоколи засідань Ради з відновлення
Медичний канабіс Військово-лікарські комісії МСЕК
Психічне здоров'я
Безоплатні послуги з охорони психічного здоровʼя Де і як отримати безоплатні послуги з охорони психічного здоровʼя До якого спеціаліста звернутися у разі проблем із психічним здоров'ям?
Реабілітація
Історії реабілітації Актуальна інформація з реабілітації Допоміжні засоби реабілітації Протезування Фахівцям Маршрут пацієнта з ампутацією Недоказова реабілітація
Медична опіка
Сімейна медицина Права пацієнтів Обов'язки пацієнтів
Вакцинація
Розподіл вакцин проти СOVID-19
Протидія COVID-19
Медичним працівникам
Оплата праці медиків Наглядові ради Єдиний вебпортал вакансій у державних та комунальних медзакладах Статті Джерела доказової медицини Безперервний професійний розвиток
ICPC-2
Матеріал для тренінгу Навчальний тренажер
МКФ
Екстрена допомога
Домедична допомога Екстрена медична допомога Медицина катастроф Медіа матеріали
Дайджест змін у системі охорони здоров’я Присяга лікаря
Ліцензування
Зміни до ліцензії Ліцензування діяльності, пов'язаної з обігом наркотичних засобів,  психотропних речовин і прекурсорів
База знань кращих практик
Менеджмент Фінанси Якість Пацієнтоорієнтованість Аналітичні звіти Онлайн-навчання Комунікації
Порядок верифікації документів про освіту
Освіта
Заклади освіти
Буковинський державний медичний університет Полтавський державний медичний університет Вінницький національний медичний університет ім. М.І. Пирогова Івано-Франківський національний медичний університет Тернопільський національний медичний університет імені І. Я. Горбачевського Дніпровський державний медичний університет Луганський державний медичний університет Донецький національний медичний університет Запорізький державний медико-фармацевтичний університет Львівський національний медичний університет імені Данила Галицького Національний медичний університет імені О.О. Богомольця Національний університет охорони здоров’я України імені П.Л. Шупика Національний фармацевтичний університет Одеський національний медичний університет Харківська медична академія післядипломної освіти Харківський національний медичний університет
Науково-дослідні установи Вступ на спеціальності галузі знань 22 «Охорона здоров'я»
ЄДКІ
ЄДКІ за межами території України: послідовність дій Етапи ЄДКІ Графік складання ЄДКІ у 2025 році Графік складання ЄДКІ у 2024 році
Інтернатура
Бази стажування лікарів-інтернів Перелік баз стажування за спеціальністю «Фармація» Місця для розподілу в інтернатуру 2024 Бази стажування (ЗОЗ комунальної форми власності)
Цикли спеціалізації, тематичного удосконалення та заходи БПР у 2024 році
Пресцентр
Останні новини Анонси Інтерв'ю Контакти пресслужби
Документи
Накази МОЗ
Накази МОЗ, що пройшли державну реєстрацію в Мін’юсті
Законопроєкти Документи з питань економіки та фінансів Документи
Національна рада з питань протидії туберкульозу та ВІЛ/СНІД
Офіційні документи Персональний склад Річні плани та звіти Секретаріат Матеріали засідань Комісія з нагляду Комітет з програмних питань Комітет з регіональної політики Регіональні ради Оголошення Заходи
Громадська експертиза Громадське обговорення (архів) Стратегічна екологічна оцінка
Головний державний санітарний лікар України
COVID 19. Офіційні документи і рекомендації
Керівник робіт з ліквідації наслідків надзвичайної ситуації (COVID-19) Консультативні, допоміжні та інші дорадчі органи при МОЗ United24 Громадське обговорення Громадська рада Регуляторна політика
Е-здоров'я
База знань eHealth
Загальна цифрова грамотність працівників охорони здоров’я Цифрова трансформація охорони здоров’я Електронна система охорони здоров’я (ЕСОЗ) Інформаційна складова в менеджменті охорони здоров’я Телездоров’я та телемедицина Захист інформації та робота з персональними даними у закладі охорони здоров’я Глосарій Рамка цифрової компетентності працівника охорони здоров’я Корисні посилання
Електронні рішення для обігу медичного канабісу
Електронна система обліку обігу медичного канабісу (ЕСОРК) Електронний рецепт на лікарські засоби на основі медичного канабісу
Електронна система охорони здоров'я
Медичні висновки Реабілітація в ЕСОЗ Е-рецепти
e-Stock Електронна інтегрована система спостереження за захворюваннями (ЕЛІССЗ) Система Meddata
Кібербезпека
Шаблони для впровадження кіберстандартів у медичних закладах Кіберзахист Фішинг Чутливі дані Програми-вимагачі Розблоковані екрани Соціальна інженерія Дії при кіберінциденті Організація робочих документів
Контакти
Довідник
Регіональні управління Вищі навчальні заклади Дослідницькі інститути Гарячі лінії Державні органи
Головна Е-здоров'я База знань eHealth Захист інформації та робота з персональними даними у закладі охорони здоров’я Принципи побудови стійкої системи кіберзахисту

Принципи побудови стійкої системи кіберзахисту

16/04/2024 323

Тема 6.4. Принципи побудови стійкої системи кіберзахисту. Вимоги законодавства щодо захисту інформації та основи захисту інформації в закладі охорони здоров’я

6.4.1. Глосарій

Конфіденційна інформація - інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень.

Персональні дані - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Лікарська таємниця - включає в себе відомості про: хворобу, результати медичного обстеження, оглядів та їхні результати, інтимну і сімейну сторони життя громадянина, які стали відомі медичним працівникам у зв'язку з виконанням професійних або службових обов'язків, та які медичні працівники не мають право розголошувати, крім випадків прямо передбачених законодавчими актами.

Кіберстійкість - можливість системи або організації функціонувати на належному рівні та досягати поставлених цілей, не дивлячись на спроби кібератак, які на неї можуть здійснюватися.

6.4.2. Вступ

Інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді (стаття 1 Закону України «Про інформацію»).

Інформація є нематеріальним благом, яке не зводиться до матеріальних об'єктів, де вона закріплена (записи на папері, відео-, аудіоплівки), тому, інформація характеризується майже безкінечною можливістю її тиражування та розповсюдження.

Інформацію, в свою чергу, за порядком доступу можна поділити на такі категорії:

  • відкрита інформація; 
  • інформація з обмеженим доступом: конфіденційна, таємна (персональні дані, лікарська таємниця) та службова.

Законодавство розмежовує інформацію наступним чином: будь-яка інформація є відкритою, крім тієї, що віднесена законодавством до інформації з обмеженим доступом (ст. 20 Закону України “Про інформацію”). 

Відкрита інформація не потребує захисту, бо часто є відомою та загальнодоступною всім (наприклад, адреса медичного закладу або послуги, які надаються).

Інша ситуація з інформацією з обмеженим доступом. До її захисту встановлюються особливі вимоги, однак ці вимоги залежать від того, про яку саме інформацію з обмеженим доступом йде мова. Нижче наведено огляд видів інформації з обмеженим доступом, що найчастіше зустрічаються у закладах.

Законодавство не дає вичерпного переліку персональних даних (далі – ПД), а лише встановлює, що персональними даними є будь-яка інформація, яка прямо ідентифікує або дозволяє ідентифікувати людину. Іншими словами, це та інформація, яка дозволяє визначити, відрізнити з-поміж усіх людей конкретну особу.

ПД можуть бути виражені у формі: літер (ім’я); чисел (ідентифікаційний код особи); зображення (підпис, фото), звуку (запис телефонної розмови зі страховою компанією), відео (запис з камер відеоспостереження) тощо. На практиці персональними даними може бути наступна інформація: ПІБ, паспортні дані, реєстраційний номер облікової картки платника податків, адреса реєстрації або місце перебування особи, національність, сімейний стан, релігійні переконання, стан здоров'я, матеріальне становище, дата і місце народження, адреса електронної пошти тощо.

Дані можуть вважатись персональними незалежно від форми, в якій вони зберігаються (наприклад, електронна медична картка чи паперова) та сфери життя особи, якої стосуються дані (наприклад, особисте, сімейне, професійне життя тощо).

Своєю чергою, ПД включають в себе дані, обробка яких становить особливий ризик для прав і свобод суб’єктів ПД. Таким ПД законодавство надає особливий статус (чутливі дані, sensitive data) та встановлює вимоги до їх обробки. Це пов’язано із тим, що обробка чутливих даних може призвести до значних ризиків для фундаментальних прав і свобод людини.

До особливих категорій ПД (чутливих даних) відноситься в тому числі інформація про: расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, притягнення до кримінальної відповідальності, дані, що стосуються здоров’я, статевого життя, біометричні або генетичні дані.

Медичні дані – усі особисті дані про стан здоров’я фізичної особи, а також дані, які чітко та тісно пов’язані з даними про стан здоров’я і генетичними даними. 

Отже, оскільки вичерпного переліку ПД немає, потрібно щоразу аналізувати будь-яку інформацію на предмет того, чи дозволяє ця інформація встановити особу, якій вона належить, і чи несе підвищений ризик обробка такої інформації для суб’єкта ПД.

Немає також єдиної формули, яка дозволяє визначити, чи мова йде про персональні дані, чи про знеособлену інформацію. У кожному окремому випадку необхідно аналізувати, чи є можливість ідентифікувати конкретну особу.

Таку інформацію забороняється вимагати та подавати за місцем роботи або навчання (ст. 286 Цивільного Кодексу України).

Умови та випадки, за яких дозволяється розкриття лікарської таємниці, передбачені у різних актах. Наприклад, відповідно до ст. 30 Сімейного кодексу України, результати медичного обстеження є таємницею і повідомляються лише нареченим. Іншим прикладом може бути надання доступу до лікарської таємниці на підставі суду, слідчого-судді про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю відповідно до Кримінального процесуального кодексу України.

Рисунки 1–2 демонструють співвідношення та взаємозв'язок різних видів інформації.


 Рисунок 1. Співвідношення різних видів інформації 
 

Рисунок 2. Співвідношення лікарської таємниці з персональними і чутливими даними 

Для того, щоб у закладах забезпечити відповідність роботи з персональними даними вимогам законодавства, а також підтримувати цю відповідність протягом тривалого часу на належному рівні, розглянемо наступні рекомендації, що наведені у вигляді практичних кроків: 

1. Розробка та затвердження положення (порядку) про захист персональних даних, інших внутрішніх документів (наприклад, облік працівників, що мають доступ до персональних даних пацієнтів, план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання та виникнення надзвичайних ситуацій). Такі документи дозволять створити систему обробки персональних даних та забезпечити їхній захист.

  • Основним документом закладу, що регулює обробку персональних даних, повинен бути порядок обробки персональних даних. Типовий порядок обробки персональних даних в Україні розроблено на законодавчому рівні, тому заклад може скористатися ним під час оформлення відповідного внутрішнього документу.
  • Типовий порядок містить норми, що використовуються для обробки персональних даних як із застосуванням автоматизованих засобів, так і без них. Такий документ приймається у порядку, передбаченому для прийняття локальних правових актів у закладах. Внутрішній документ зазвичай затверджується керівником закладу, шляхом видання відповідного наказу. Порядок обробки персональних даних має бути доступним для кожного працівника закладу. Зміни, які вносяться до Порядку обробки персональних даних, мають своєчасно доводитися до відома всіх працівників.

2. Визначення відповідального працівника за забезпечення захисту персональних даних. Такий працівник має консультувати персонал з приводу питань дотримання законодавства про захист персональних даних.

У закладах, які здійснюють обробку персональних даних, потрібно створювати (визначати) структурний підрозділ або відповідальну особу, що буде організовувати роботу, пов’язану із захистом персональних даних при їх обробці. Оскільки інформація про стан здоров’я входить до персональних даних, що становить особливий ризик для прав і свобод суб’єктів, тому у закладі має бути визначено такий структурний підрозділ або відповідальна особа.

Законодавство не передбачає обов’язкової наявності підрозділу або працівника, що відповідає лише за питання обробки персональних даних. На практиці такі обов’язки часто покладаються на підрозділи або осіб, що паралельно виконують інші функції, наприклад, юридичний відділ або юриста, канцелярію, відділ кадрів тощо.

3. Підписання зобов'язання про нерозголошення персональних даних тими працівниками, які мають доступ до персональних даних у зв'язку з виконанням їхніх професійних обов'язків.

Кожен працівник, який має доступ до персональних даних, має надати своєму роботодавцю письмове зобов’язання про нерозголошення тих персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних обов’язків.

При позбавленні медичного працівника доступу до персональних даних вживаються заходи, що унеможливлюють доступ такої особи до персональних даних. Документи та інші носії, що містять персональні дані суб’єктів, передаються іншому працівнику.

Таке зобов’язання має містити реквізити працівника, його посаду, рівень його доступу до персональних даних, обмеження доступу (у разі наявності). Також працівник повинен прийняти на себе зобов’язання не розголошувати у будь-який спосіб персональних даних інших осіб, що стали відомі у зв’язку з виконанням посадових обов’язків або повноважень.

4. Проведення регулярних навчань персоналу, що має доступ до персональних даних пацієнтів, щодо правил поводження з персональними даними. Такий крок не є обов’язковою вимогою законодавства, проте повинен сприяти розвитку культури роботи з персональними даними.

Отже, до інформації з обмеженим доступом, яка обробляється закладами, застосовуються додаткові вимоги щодо її захисту. Основи захисту такої інформації встановлені у наступних законодавчих документах:

У сучасному світі захист інформації став надзвичайно важливим аспектом управління діяльності організацій, і водночас найбільш цінним активом. Одним з надійних і комплексних засобів захисту інформації в організації є запровадження системи управління інформаційною безпекою на основі міжнародних стандартів серії ISO/IEC 27000. Ключовим стандартом серії є стандарт ISO 27001 «Системи управління інформаційною безпекою». Цей стандарт описує, як саме має бути запроваджена система управління інформаційною безпекою (СУІБ) в організації.

6.4.3. Принципи побудови стійкої системи кіберзахисту

Отже, систему кіберзахисту вважають стійкою, якщо вона успішно захищає організацію від суттєвих наслідків при втручанні в роботу її інформаційних систем з боку кіберзлочинців. 

Для систематизованого підходу до оцінки кіберстійкості використовують наступні методи та підходи:

  • Моделювання загроз
  • Аналіз впливу
  • Оцінка вірогідності

Під моделюванням загроз розуміють експертну оцінку того, які саме види та варіації кібератак є можливими та релевантними. Формулюється перелік або так званий каталог загроз зі стандартизованою класифікацією по типам.

Наступним етапом є прогнозування наслідків для організації від реалізації кібератак. Цей вид аналізу називається аналіз впливу. Необхідно зрозуміти, наскільки сильно постраждає конфіденційність, цілісність та доступність інформації від окремо взятої потенціальної атаки.

Завершальним кроком є оцінка вірогідності успішного виконання кібератаки. До уваги треба брати як наявність механізмів кіберзахисту, так і технічну складність реалізації кібератаки злочинцями. Також на вірогідність спроб атаки впливає співвідношення ресурсів, які необхідно витратити на атаку, і цінності інформації та інформаційної системи, яку атакують.

Можна виділити наступні принципи побудови стійкої системи кіберзахисту:

  • Принцип процесного підходу
  • Принцип ешелонованого захисту

Розглянемо їх детальніше детальніше у 6.4.3.1 Принцип процесного підходу до кіберзахисту і 6.4.3.2 Принцип ешелонованого захисту

6.4.3.1 Принцип процесного підходу до кіберзахисту

Хорошою практикою вважається побудова системи кіберзахисту як сукупності взаємопов'язаних процесів. Популярною моделлю для цього є СУІБ – система управління інформаційною безпекою, побудованою на основі ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту системи управління інформаційною безпекою. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT). У СУІБ прийнято включати наступний перелік процесів:

  • Управління ресурсами 
  • Безпека людських ресурсів
  • Фізична безпека та безпека інфраструктури
  • Управління комунікаціями та функціонуванням
  • Контроль доступу
  • Придбання, розроблення та підтримка інформаційних систем
  • Управління інцидентом інформаційної безпеки
  • Управління інцидентами інформаційної безпеки та вдосконаленням
  • Управління безперервністю бізнесу

6.4.3.2 Принцип ешелонованого захисту

Окремий принцип побудови стійкої системи кіберзахисту – впровадження декількох заходів захисту від однієї потенційного кіберзагрози. Це обумовлено тим, що будь-яка технологія може давати збій. Якщо заходи захисту передбачають залучення людини, то варто згадати вислів «помилятися – це частина людської природи». Таким чином, недосконалість або відмову в спрацюванні одного рівня захисту необхідно компенсувати побудовою додаткового механізму кібербезпеки. Прикладом з повсякденного життя є установка двох типів замків для дверей в офісне приміщення – механічного та електронного. В сфері кібербезпеки, прикладом є навчання користувачів навичкам кібергігієни з одного боку, та розгортання системи автоматичного маркування підозрілих електронних листів з другого. 

Також на рівні ІТ-спеціалістів під ешелонованим захистом часто розуміють встановлення підсистеми захисту для кожного типу ІТ-систем – окремо для телекомунікаційного обладнання, окремо для програмного забезпечення та окремо для бази даних.

Ключові слова / теги

Кіберстійкість, принцип ешелонованого захисту, принцип процесного підходу, конфіденційна інформація, персональні дані, лікарська таємниця, чутливі дані

Наступна сторінка: Удосконалення системи кібербезпеки