Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/5858
Title: Створення політики інформаційної безпеки для закладів охорони здоровя
Authors: Палагін, Володимир Васильович
Кудрявцев, Олексій Вячеславович
Keywords: заклади охорони здоров’я;захист інформації;управління системою інформаційної безпеки
Issue Date: 2024
Abstract: Метою даної роботи є створення політики інформаційної безпеки для закладів охорони здоров’я через розробку ефективних моделей та їх практичну реалізацію та впровадження для створення ефективних методів захисту інформації та сприятиме захисту персональних даних пацієнтів. Об’єкт дослідження - система інформаційної безпеки закладів охорони здоров’я. Предмет дослідження - процеси створення, впровадження та управління системою інформаційної безпеки в закладах охорони здоров’я. Наукова новизна роботи полягає в розробці моделей і методів для забезпечення інформаційної безпеки в закладах охорони здоров’я, який враховує специфіку галузі та сучасні кіберзагрози. Практична значимість - результати дослідження можуть бути використані для розробки ефективних стратегій захисту інформації в закладах охорони здоров’я, що сприятиме підвищенню рівня кібербезпеки та захисту персональних даних пацієнтів.
URI: https://er.chdtu.edu.ua/handle/ChSTU/5858
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Кудрявцев_Палагін.pdf
  Restricted Access
7.86 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2024 року
Пояснювальна записка
до кваліфікаційної роботи
магістра
(освітній ступінь)
на тему Створення політики інформаційної безпеки для закладів охорони
здоров’я
Виконав: студент 2курсу, групи мБІ-31
спеціальності
125 Кібербезпека та захист інформації
(шифр і назва напряму підготовки, спеціальності)
(освітня програма – «Безпека інформаційних
і комунікаційних систем»)
Кудрявцев О.В.
(прізвище та ініціали)
Керівник Палагін В.В.
(прізвище та ініціали)
Рецензент Чепинога А.В.
(прізвище та ініціали)
Черкаси – 2024 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
(повне найменування вищого навчального закладу)
Факультет електронних технологій, автотранспорту та машинобудування
(повна назва)
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
(повна назва)
Освітньо-кваліфікаційний рівень магістр
Спеціальність 125 – «Кібербезпека та захист інформації»
Освітня програма Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри д.т.н., проф.
____________ Палагін В.В.
“___” _____________ 2024 року
З А В Д А Н Н Я
НА ДИПЛОМНУ РОБОТУМАГІСТРА СТУДЕНТУ
Кудрявцеву Олексію Вячеславовичу
(прізвище, ім’я, по батькові)
1. Тема роботи «Створення політики інформаційної безпеки для закладів охорони здоров’я»
керівник роботи Палагін Володимир Васильович_____
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом Черкаського державного технологічного університету від
«___» ________ 2024 року№______.
2. Строк подання студентом роботи ________________.
3. Вихідні дані до роботи: Заклад охорони здоров’я - КНП “Черкаська міська інфекційна лікарня”;
Існуюча ІТ інфраструктура - локальна мережа, сервер на базі Windows , робочі станції на базі
Windows, медична інформаційна H24; застосування законодавства - Закон України "Про захист
персональних даних", Наказ МОЗ України "Про затвердження Порядку ведення медичної
документації"; аналіз ризиків - виявлені вразливості та потенційні загрози для інформаційної
безпеки закладу на основі проведеного аудиту; вимоги до рівня захисту інформації - вимоги до
конфіденційності, цілісності та доступності медичних даних
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ, розділ 1 аналіз основних кіберзагроз в закладах охорони здоров'я, Розділ 2 створення
шаблонів політики інформаційного захисту в закладах охорони здоров'я, Розділ 3 впровадження
системи інформаційної безпеки в закладах охорони здоров’я, Висновки, Список використаних
джерел.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
презентація «Створення політики інформаційної безпеки для закладів охорони здоров’я» на _____
слайдів.
6. Консультанти розділів роботи
Підпис, дата
Розділ Прізвище, ініціали та посада консультанта
завдання видав завдання прийняв
7. Дата видачі завдання __________________
КАЛЕНДАРНИЙ ПЛАН
№
з/п Назва етапів кваліфікаційної роботи магістра Строк виконання
етапів роботи Примітка
1. Пошук і аналіз інформації по заданій темі 06.09.2024-
16.09.2024
2. Написання І розділу “аналіз основних кіберзагроз в 18.09.2023-
закладах охорони здоров'я” 27.09.2024
3. Написання ІІ розділу роботи “створення шаблонів 1.10.2024-
політики інформаційного захисту в закладах 18.10.2024
охорони здоров'я”
4. Написання ІІІ розділу “впровадження системи 22.10.2023-
інформаційної безпеки в закладах охорони 10.11.2024
здоров’я”
5. Написання вступу і висновків, складання списку 13.11.2024
літератури
6. Оформлення кваліфікаційної роботи магістра 16.11.2024
7. Подання роботи в ЕК 10.11.2024
8. Захист роботи в ЕК 11.12.2024
Студент _______________________Кудрявцев О.В.
(підпис) (прізвище та ініціали)
Керівник роботи _______________Палагін В.В.
(підпис) (прізвище та ініціали)
ЗМІСТ
ВСТУП..............................................................................................................................5
РОЗДІЛ 1 АНАЛІЗ ОСНОВНИХ КІБЕРЗАГРОЗ В ЗАКЛАДАХ ОХОРОНИ
ЗДОРОВ'Я........................................................................................................................ 8
1.1 Різновиди кіберзагороз та класифікація вразливостей...................................... 8
1.2 Ранжирування вразливостей та класифікація
загроз...........................................................................................................................10
1.3 Модель порушника та оцінка завданих збитків...............................................12
1.4 Аналіз кіберзлочинів у закладах охорони здоров'я України та світі..............14
1.5 Висновки...............................................................................................................16
РОЗДІЛ 2 СТВОРЕННЯ ШАБЛОНІВ ПОЛІТИКИ ІНФОРМАЦІЙНОГО
ЗАХИСТУ В ЗАКЛАДАХ ОХОРОНИ ЗДОРОВ'Я....................................................17
2.1 Політика інформаційної безпеки для закладу охорони здоров’я....................17
2.2 Політика управління ризиками інформаційної безпеки.................................. 18
2.3 Процедура управління вразливостями.............................................................. 21
2.4 Процедура планування відновлення після аварій............................................ 27
2.5 Політика антивірусного захисту........................................................................ 29
2.6 Політика контролю доступу............................................................................... 33
2.7 Політика використання мереж........................................................................... 37
2.8 Політика криптографічного захисту..................................................................40
2.9 Процедура роботи з персональними даними....................................................42
2.10 Політика чистого столу/екрана........................................................................ 44
2.11 Політика управління інцидентами інформаційної безпеки...........................45
2.12 Висновки.............................................................................................................47
РОЗДІЛ 3 ВПРОВАДЖЕННЯ СИСТЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В
ЗАКЛАДАХ ОХОРОНИ ЗДОРОВ’Я...........................................................................49
ЧДТУ.24.23386.007
Змн. Арк. № докум. Підпис Дата
Розроб. Кудрявцев Створення політики інформаційної Літ. Арк. Аркушів
Перевір. Палагін 3 77
безпеки для закладів охорони
Реценз.
Н. Контр. здоров’я ЧДТУ 2024
Затверд.
 
3.1 Характеристика об'єкту.......................................................................................49  
3.2 Аудит інформаційного захисту..........................................................................51  
3.3 Впровадження політики інформаційного захисту............................................56  
3.4 Висновки...............................................................................................................72  
ВИСНОВКИ...................................................................................................................74 
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ...............................................................76 
 
 
 
 
 
 
Арк. 
ЧДТУ.24.23386.007 4 
Змн. Арк. № докум. Підпис Дата 
ВСТУП
Сфера охорони здоров’я переживає значні трансформації завдяки швидкому
розвитку інформаційних технологій. Електронні медичні записи, телемедицина,
інтернет речей у медицині – все це суттєво покращує якість надання медичних
послуг. Однак, з іншого боку, цифровізація охорони здоров’я створює нові ризики,
пов’язані з кібербезпекою. Зростання кількості кібератак, спрямованих на медичні
установи, підкреслює актуальність дослідження проблем інформаційної безпеки в
цій галузі.[10]
Мета дослідження
Метою даної роботи є створення політики інформаційної безпеки для
закладів охорони здоров’я через розробку ефективних моделей та їх практичну
реалізацію та впровадження для створення ефективних методів захисту
інформації та сприятиме захисту персональних даних пацієнтів..
Завдання дослідження:
1. Провести аналіз сучасних кіберзагроз, що впливають на заклади охорони
здоров’я.
2. Розробити класифікацію вразливостей та ранжування загроз для закладів
охорони здоров’я.
3. Створити модель поведінки зловмисника та оцінити потенційні збитки від
кібератак.
4. Розробити шаблони політик інформаційної безпеки для різних аспектів
захисту даних в закладах охорони здоров’я.
5. Розробити процедури управління вразливостями, відновлення після аварій
та реагування на інциденти.
6. Провести аудит інформаційної безпеки типового закладу охорони здоров’я.
7. Розробити рекомендації щодо впровадження системи інформаційної
безпеки в закладах охорони здоров’я.
Арк.
ЧДТУ.24.23386.007 5
Змн. Арк. № докум. Підпис Дата
Об’єкт дослідження:
Система інформаційної безпеки закладів охорони здоров’я.
Предмет дослідження:
Процеси створення, впровадження та управління системою інформаційної
безпеки в закладах охорони здоров’я.
Методи дослідження:
 Аналіз літературних джерел: Вивчення наукових публікацій, нормативних
документів, звітів про кібератаки.
 Системний аналіз: Виявлення взаємозв’язків між різними елементами
системи інформаційної безпеки.
 Моделювання: Створення моделей загроз та вразливостей.
 Експертні оцінки: Оцінка ефективності розроблених моделей та
рекомендацій.
Структура роботи
Робота складається з трьох розділів:
 Розділ 1: Аналіз основних кіберзагроз в закладах охорони здоров’я. В
цьому розділі детально розглядаються різновиди кіберзагроз, вразливості
систем, а також моделі поведінки зловмисників.
 Розділ 2: Створення шаблонів політик інформаційної безпеки. В цьому
розділі наведені детальні шаблони політик, які можуть бути використані для
створення ефективної системи захисту інформації в закладах охорони
здоров’я.
 Розділ 3: Впровадження системи інформаційної безпеки. В цьому розділі
розглядаються практичні аспекти впровадження системи інформаційної
безпеки, включаючи аудит, розробку політик та навчання персоналу.
Наукова новизна
Арк.
ЧДТУ.24.23386.007 6
Змн. Арк. № докум. Підпис Дата
Наукова новизна роботи полягає в розробці моделей і методівдля
забезпечення інформаційної безпеки в закладах охорони здоров’я, який враховує
специфіку галузі та сучасні кіберзагрози.
Практична значимість
Результати дослідження можуть бути використані для розробки ефективних
стратегій захисту інформації в закладах охорони здоров’я, що сприятиме
підвищенню рівня кібербезпеки та захисту персональних даних пацієнтів.
Робота містить 77 сторінки основного тексту та 1 таблицю.
Арк.
ЧДТУ.24.23386.007 7
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 1 АНАЛІЗ ОСНОВНИХ КІБЕРЗАГРОЗ В ЗАКЛАДАХ ОХОРОНИ
ЗДОРОВ'Я
1.1 Різновиди кіберзагороз та класифікація вразливостей
Різновиди кіберзагроз та класифікація вразливостей – це широкі теми, які
взаємопов'язані. Вразливості створюють умови для кіберзагроз, а кіберзагрози
експлуатують ці вразливості. Ось розгляд обох аспектів:
Різновиди кіберзагроз:
Кіберзагрози можна класифікувати за різними критеріями. Ось деякі з них:
• За метою:
Зловмисне програмне забезпечення (Malware): Віруси, трояни, черв'яки,
шкідливі програми-вимагачі (ransomware), шпигунські програми (spyware),
рекламне програмне забезпечення (adware), руткити (rootkits).
Кібератаки на цілісність даних: Зміна, знищення або підробка даних.[5]
Кібератаки на конфіденційність даних: Несанкціонований доступ,
викрадення або розкриття конфіденційної інформації.
Кібератаки на доступність: Заперечення обслуговування (DoS, DDoS),
саботаж.
Фішинг (Phishing): Спроби отримати конфіденційну інформацію,
використовуючи обманні методи.[9]
Соціальна інженерія: Маніпулювання людьми для отримання доступу до
систем або інформації.
Внутрішні загрози: Дії працівників або інших осіб, які мають законний
доступ до систем.[13]
• За джерелом:
Зовнішні загрози: Атаки ззовні організації.
Внутрішні загрози: Атаки зсередини організації (невмисні дії, зловмисні дії
працівників).
Арк.
ЧДТУ.24.23386.007 8
Змн. Арк. № докум. Підпис Дата
Державні спонсоровані атаки: Атаки, що здійснюються урядами або
державними акторами.
Хакери: Окремі особи або групи, що здійснюють кібератаки з різних
мотивів.
Злочинні організації: Групи, що використовують кіберзлочинність для
отримання прибутку.
• За типом атаки:
Атаки на відмову в обслуговуванні (DoS/DDoS): Перевантаження системи
запитами, що призводить до її недоступності.
Атаки на SQL-ін'єкції: Введення шкідливого коду в бази даних.
Перехоплення трафіку (Man-in-the-middle): Підслуховування та зміна
інформації, що передається між двома сторонами.
Атаки на переповнення буфера: Заповнення буфера даними, що
перевищують його розмір, для виконання шкідливого коду.
Класифікація вразливостей:
Вразливості класифікують за різними критеріями, зокрема:
• За типом:
Вразливості програмного забезпечення: Помилки в коді, які можуть бути
використані зловмисниками.
Вразливості апаратного забезпечення: Фізичні недоліки в апаратному
забезпеченні.
Вразливості конфігурації: Неправильні налаштування систем або
програмного забезпечення.
Вразливості людського фактора: Помилки або недбалість користувачів або
адміністраторів.
• За серйозністю:
Критичні: Вразливості, які можуть призвести до повного компрометації
системи.
Високі: Вразливості, які можуть призвести до значних збитків.
Арк.
ЧДТУ.24.23386.007 9
Змн. Арк. № докум. Підпис Дата
Середні: Вразливості, які можуть призвести до незначних збитків.
Низькі: Вразливості, які малоймовірно призведуть до значних збитків.
• За CVSS (Common Vulnerability Scoring System): Система оцінювання
вразливостей, що враховує їх серйозність, складність експлуатації та потенційні
наслідки.
1.2 Ранжирування вразливостей та класифікація загроз
Ранжування вразливостей та класифікація загроз є ключовими аспектами
кіберзахисту, які дозволяють організаціям зосередитися на найбільш критичних
проблемах. Вони тісно пов'язані, оскільки ранжування вразливостей часто
залежить від оцінки потенційного впливу відповідних загроз.
1. Класифікація загроз:
Загрози в кібербезпеці можна класифікувати за різними критеріями.
Найбільш поширені:
• За типом:
Зловмисне програмне забезпечення (Malware): Віруси, трояни, черв'яки,
ransomware, spyware, adware, rootkits.
Фішинг (Phishing) та соціальна інженерія: Маніпулювання людьми для
отримання доступу до систем або інформації.
Атаки на відмову в обслуговуванні (DoS/DDoS): Перевантаження системи
запитами, що призводить до її недоступності.
SQL-ін'єкції: Введення шкідливого коду в бази даних.
Внутрішні загрози: Дії працівників або інших осіб, які мають законний
доступ до систем.
Атаки на переповнення буфера: Заповнення буфера даними, що
перевищують його розмір, для виконання шкідливого коду.
Атаки "Man-in-the-middle": Перехоплення та зміна інформації, що
передається між двома сторонами.
Арк.
ЧДТУ.24.23386.007 10
Змн. Арк. № докум. Підпис Дата
Атаки на нульовий день (Zero-day exploits): Експлуатація невідомих раніше
вразливостей.
• За метою:
Конфіденційність: Несанкціонований доступ до конфіденційної інформації.
Цілісність: Зміна або руйнування даних.
Доступність: Заперечення доступу до ресурсів.
• За джерелом:
Зовнішні: Атаки ззовні організації.[6]
Внутрішні: Атаки зсередини організації.
Державні спонсоровані: Атаки, що здійснюються урядами або державними
акторами.
2. Ранжування вразливостей:
Ранжування вразливостей дозволяє визначити пріоритетність їх усунення.
Для цього використовуються різні методи та системи оцінювання:
• CVSS (Common Vulnerability Scoring System): Широко використовувана
система оцінювання, яка присвоює бали вразливостям на основі таких факторів:
Базовий бал (Base Score): Оцінює вразливість незалежно від конкретного
середовища.
Темпоральний бал (Temporal Score): Враховує доступність експлойтів та
наявність патчів.
Екологічний бал (Environmental Score): Враховує контекст організації та її
середовища.
• Методи оцінки ризику: Оцінка ймовірності та наслідків експлуатації
вразливості. Це може включати в себе:
Аналіз ризиків: Систематичний процес визначення, аналізу та оцінки
ризиків.
Кількісний та якісний аналіз ризиків: Використання кількісних показників
(наприклад, ймовірність, вплив) або якісних характеристик (наприклад, високий,
середній, низький).
Арк.
ЧДТУ.24.23386.007 11
Змн. Арк. № докум. Підпис Дата
3. Взаємозв'язок між класифікацією загроз та ранжуванням вразливостей:
Класифікація загроз допомагає визначити, які типи атак є найбільш
ймовірними для вашої організації. Це, у свою чергу, впливає на ранжування
вразливостей. Вразливості, які можуть бути використані для здійснення найбільш
імовірних та руйнівних атак, повинні мати найвищий пріоритет усунення.
4. Приклад:
Уявіть, що медичний заклад має вразливість у системі електронних
медичних карт, яка може бути використана для викрадення конфіденційної
інформації пацієнтів (загроза конфіденційності). Оскільки викрадення медичних
даних може мати серйозні наслідки (репутаційні збитки, штрафи), ця вразливість
отримає високий пріоритет усунення, незалежно від її CVSS балу.
Висновок:
Ефективний кіберзахист вимагає постійного моніторингу та оцінки як
загроз, так і вразливостей. Систематичний підхід до класифікації загроз та
ранжування вразливостей є ключовим для оптимізації ресурсів та ефективного
захисту інформаційних систем.
1.3 Модель порушника та оцінка завданих збитків
Модель порушника та оцінка завданих збитків
Модель порушника та оцінка завданих збитків є важливими компонентами
аналізу ризиків у кібербезпеці. Вони допомагають визначити ймовірність та
потенційний вплив кібератак.
1. Модель порушника (Threat Actor Modeling):
Модель порушника – це процес визначення потенційних зловмисників, які
можуть атакувати вашу систему. Вона враховує:
• Мотивацію: Чому зловмисник атакує? (фінансова вигода, політичні
мотиви, конкуренція, активізм, вандалізм тощо)
Арк.
ЧДТУ.24.23386.007 12
Змн. Арк. № докум. Підпис Дата
• Здібності: Які технічні навички та ресурси має зловмисник? (професійний
хакер, скрипт-кіді, державна структура тощо)
• Ресурси: Які ресурси (час, гроші, технології) має зловмисник в своєму
розпорядженні?
• Знання: Що зловмисник знає про вашу організацію та її системи?
• Технології: Які методи та інструменти зловмисник може використовувати?
(фішинг, malware, SQL ін'єкції, DoS атаки тощо)
Типи моделей порушників:
• Внутрішній: Співробітник, партнер, підрядник.
• Зовнішній: Хакер, конкурент, злочинна група, державний актор.
• Випадковий: Окремі особи, які здійснюють ненавмисні дії, що призводять
до порушення безпеки.
2. Оцінка завданих збитків:
Оцінка збитків – це процес визначення потенційного впливу успішної атаки.
Вона включає:
• Фінансові збитки: Вартість відновлення системи, втрата прибутку, штрафи
за порушення законодавства, виплати викупу (ransomware).
• Репутаційні збитки: Втрата довіри клієнтів, погіршення іміджу компанії.
• Юридичні збитки: Штрафи, судові позови.
• Операційні збитки: Перебої в роботі, втрата продуктивності.
• Збитки для клієнтів: Втрата даних клієнтів, погіршення якості послуг.
• Збитки для персоналу: Втрата даних про персонал, порушення
конфіденційності.
Методи оцінки збитків:
• Кількісний аналіз: Використання числових даних для оцінки потенційних
збитків (наприклад, вартість втрачених даних, втрата прибутку за певний період).
• Якісний аналіз: Оцінка потенційних збитків на основі описових
характеристик (наприклад, високий, середній, низький).
3. Взаємозв'язок між моделлю порушника та оцінкою збитків:
Арк.
ЧДТУ.24.23386.007 13
Змн. Арк. № докум. Підпис Дата
Модель порушника допомагає визначити, які типи атак є найбільш
ймовірними. Оцінка збитків допомагає визначити, які з цих атак матимуть
найбільш серйозні наслідки. Поєднання цих двох аспектів дозволяє створити
більш точну та вичерпну картину ризиків.
4. Приклад:
Якщо модель порушника показує високу ймовірність атаки ransomware з
боку зовнішнього зловмисника, оцінка збитків повинна враховувати вартість
відновлення даних, втрату прибутку під час простою, виплату викупу та
потенційні репутаційні збитки.
1.4 Аналіз кіберзлочинів у закладах охорони здоров'я України та світі
Аналіз кіберзлочинів у закладах охорони здоров'я в Україні та світі показує,
що ця проблема стає дедалі актуальнішою. Кіберзлочини в цій сфері можуть мати
серйозні наслідки, включаючи витік чутливих даних пацієнтів, зупинку медичних
послуг і навіть загрозу життю пацієнтів. Ось детальний аналіз ситуації:
Кіберзлочини у закладах охорони здоров'я в Україні
1. Загальна ситуація:
В Україні кіберзлочини в сфері охорони здоров’я почали активно зростати,
особливо під час пандемії COVID-19. Збільшення використання цифрових
технологій у медицині призвело до нових вразливостей.
2. Типи атак:
Ransomware: Багато українських медичних установ стали жертвами атак
програм-вимагачів. Наприклад, у 2020 році було зафіксовано кілька випадків,
коли хакери блокували доступ до медичних систем, вимагаючи викуп.
Фішинг: Атаки через електронну пошту, спрямовані на отримання доступу
до облікових записів лікарів і адміністраторів.
3. Витоки даних:
Арк.
ЧДТУ.24.23386.007 14
Змн. Арк. № докум. Підпис Дата
Витоки медичних даних, включаючи інформацію про пацієнтів, стали
частими. Наприклад, у 2021 році було зафіксовано випадки витоку даних з
медичних реєстрів.
В Україні існують закони, які регулюють захист персональних даних (Закон
України "Про захист персональних даних"), але їх реалізація та контроль
залишаються на низькому рівні.
Кіберзлочини у закладах охорони здоров'я в світі
1. Глобальна ситуація: згідно з доповіддю компанії Cybersecurity Ventures,
кіберзлочини у сфері охорони здоров’я зростають на 30% щорічно. Це пов'язано зі
збільшенням цифровізації та використанням IoT-пристроїв у медичних установах.
2. Типи атак:
Ransomware: У 2020 році атака на систему Universal Health Services (UHS) в
США призвела до зупинки роботи понад 400 лікарень.[11]
Атаки на постачальників: Наприклад, атака на компанію Accellion у 2021
році призвела до витоку даних з кількох медичних установ.
3. Витоки даних:
За даними дослідження IBM, витік медичних даних обходиться в
середньому в $7.13 млн. на інцидент. Це є найвищим показником серед усіх
секторів.[10]
У США існує закон HIPAA, який регулює захист медичної інформації, але
його дотримання залишається проблематичним для багатьох установ.
Цей аналіз підкреслює важливість кібербезпеки в охороні здоров'я як в
Україні, так і в світі, і необхідність активних дій для захисту медичних установ
від кіберзагроз.
Арк.
ЧДТУ.24.23386.007 15
Змн. Арк. № докум. Підпис Дата
1.5 Висновки
Розробка моделі порушника та проведення оцінки збитків є невід'ємною
частиною процесу управління ризиками в кібербезпеці. Це дозволяє організаціям
зосередитися на найбільш важливих загрозах та розробити ефективні заходи
захисту. Результати цього аналізу повинні бути використані для розробки
стратегії кібербезпеки та плану реагування на інциденти.
Арк.
ЧДТУ.24.23386.007 16
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 2 СТВОРЕННЯШАБЛОНІВ ПОЛІТИКИ ІНФОРМАЦІЙНОГО
ЗАХИСТУ В ЗАКЛАДАХ ОХОРОНИ ЗДОРОВ'Я
2.1 Політика інформаційної безпеки для закладу охорони здоров’я
Політика інформаційної безпеки закладу охорони здоров'я (далі – ЗОЗ)
визначає основні принципи забезпечення відповідного рівня інформаційної
безпеки в ЗОЗ, далі – Політика або скорочено ПІБ. Цей документ є ключовим у
сфері інформаційної безпеки і має бути відомий усім працівникам ЗОЗ, а також
підрядникам (постачальникам послуг). Політика регламентує дії, застереження та
заборони, яких повинні дотримуватися всі користувачі інформаційних та
цифрових активів закладу.[4] Політика затверджується керівником ЗОЗ,
роздруковується та зберігається у відповідального за інформаційну безпеку. Якщо
неможливо призначити окрему особу для цієї ролі через обмеженість ресурсів,
відповідальність за інформаційну безпеку покладається на головного лікаря
закладу.
Відповідний рівень інформаційної безпеки – це стан фізичного та
інформаційного середовища, який забезпечує конфіденційність, доступність і
цілісність інформації в ЗОЗ, а також можливість моніторингу і контролю систем,
в яких ця інформація обробляється.
Цей рівень досягається шляхом ефективного використання комплексів
програмних і технічних засобів, а також організаційних заходів, спрямованих на
захист даних від зловмисного використання.
Вимоги та обмеження ПІБ поширюються на мережеву інфраструктуру, бази
даних, носії інформації, засоби шифрування, друковані документи, мультимедійні
файли, бездротові комунікації, телекомунікаційні системи, аудіоповідомлення та
інші засоби передачі, обробки та зберігання інформації в усіх апаратних і
програмних системах ЗОЗ. Дотримуватися цієї політики зобов’язані всі штатні та
Арк.
ЧДТУ.24.23386.007 17
Змн. Арк. № докум. Підпис Дата
тимчасові працівники, незалежно від місця роботи (в офісі, будівлі ЗОЗ чи
віддалено), а також підрядники – постачальники послуг.
При формуванні політики інформаційного захисту використовуються такі
документи: управління ризиками інформаційної безпеки, управління
вразливостями, планування відновлення після аварій, антивірусний захист,
політики контролю доступу, використання мереж, криптографічний захист,
процедури роботи з персональними даними, чистого столу/екрана та управління
інцидентами інформаційної безпеки.
2.2 Політика управління ризиками інформаційної безпеки
До управління ризиками в закладах охорони здоров'я необхідно підходити з
особливою увагою з боку керівництва. Процес управління пов'язаний із
недопущенням або мінімізацією наслідків надзвичайних ситуацій, які не завжди
можна передбачити, але їх настання може призвести до серйозних негативних
наслідків. У цьому контексті ключовим є забезпечення стійкості управління
персоналом і активами шляхом впровадження ризик-орієнтованого підходу та
ефективних механізмів управління ризиками.
Управління ризиками в сфері інформаційної безпеки здійснюється
відповідно до чинного законодавства України, включаючи такі основні
регулювання та стандарти:
1. Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури
(постанова Кабінету Міністрів України від 19 червня 2019 року №518);
2. ДСТУ ISO/IEC 27001:2015 «Інформаційні технології. Методи захисту.
Системи управління інформаційною безпекою. Вимоги»;
3. ДСТУ ISO/IEC 27002:2015 «Інформаційні технології. Методи захисту.
Звід практик щодо заходів інформаційної безпеки»;
4. ДСТУ ISO/IEC 27005:2019 «Інформаційні технології. Методи захисту.
Управління ризиками інформаційної безпеки».
Арк.
ЧДТУ.24.23386.007 18
Змн. Арк. № докум. Підпис Дата
В управлінні враховуються також міжнародні стандарти та
загальноприйняті на міжнародному рівні принципи забезпечення інформаційної
безпеки й кіберзахисту.
Заклад здійснює детальну оцінку потенційних ризиків і вразливостей,
аналізуючи їхній вплив на конфіденційність, цілісність та доступність даних, що
обробляються і передаються через інформаційні системи. На основі цих даних
проводиться управління виявленими загрозами.
Також проводиться комплексний аналіз як поточних, так і перспективних
ризиків у сфері інформаційної безпеки. Результати таких аналізів відображаються
на Карті ризиків, яка служить основою для розробки Плану обробки ризиків і
реалізації заходів для підтримання належного рівня захисту даних. Повторну
оцінку ризиків та ефективності вжитих заходів захисту проводять щороку або за
потребою — у разі змін у функціонуванні установи, запровадження новітніх
процесів чи технологій.
Відповідальність за організацію й координацію аналізу ризиків
покладається на уповноваженого з питань інформаційної безпеки. Залучаючи
персонал або сторонніх експертів, він проводить інвентаризацію активів,
ідентифікує їхню вразливість і оцінює пов’язані загрози. На основі цього
складається Карта ризиків, що стає базою для розробки Плану обробки ризиків,
який затверджується керівником установи.
Керівництво закладу займається загальним управлінням політики у сфері
ризик-менеджменту, ухвалює рішення щодо пом’якшення, передачі чи прийняття
ризиків і здійснює контроль за впровадженням відповідних заходів.
Співробітники, відповідальні за збереження інформаційних активів,
допомагають в інвентаризації активів та виявленні їхніх слабких місць разом із
загрозами. До цього процесу залучається весь персонал закладу для мінімізації
ризиків і запобігання їх наслідкам.
Процедура управління ризиками передбачає безперервний процес,
відповідно до стандарту ДСТУ ISO/IEC 27005:2019.[6]
Арк.
ЧДТУ.24.23386.007 19
Змн. Арк. № докум. Підпис Дата
Оцінка ризиків включає кілька послідовних етапів, кожен з яких охоплює
ключові аспекти управління ризиками інформаційної безпеки.
Ідентифікація ризиків. Цей крок передбачає складання інвентаризації
активів, визначення можливих загроз, аналіз поточних заходів захисту, виявлення
вразливостей, а також оцінку наслідків можливого впливу загроз на
конфіденційність, цілісність і доступність інформаційних активів.
Аналіз ризиків. Поглибленість аналізу залежить від критичності активів,
ступеня наявних уразливостей та історії подій, які спричинили інциденти. Для
первинного аналізу використовується якісний підхід для виокремлення найбільш
пріоритетних ризиків, а для повторного проводиться кількісний аналіз для
отримання точніших результатів.
Оцінка рівня небезпеки ризиків. Отримані рівні ризиків порівнюються з
критеріями прийняття ризиків, встановленими на етапі контекстного аналізу.
Обробка ризиків. Включає зміну ризиків, їх прийняття, запобігання або
передавання іншій стороні, наприклад, через страхування.
Прийняття ризиків. Визначаються та затверджуються ті ризики, які
організація готова прийняти, виходячи з її поточних можливостей і планів.
Реалізація плану обробки ризиків. На цьому етапі запроваджуються
конкретні дії: придбання та налаштування засобів захисту, укладання договорів
технічної підтримки, впровадження заходів моніторингу та реагування на
інциденти, а також управління вразливостями.
Моніторинг і перегляд ризиків. Динаміка зовнішнього середовища та
внутрішніх процесів може змінювати рівень ризиків: зростають чи зменшуються
загрози, змінюється вартість активів і їхня цінність для організації. Постійний
моніторинг дозволяє оперативно адаптувати ризик-менеджмент до нових умов.
Покращення процесу управління ризиками. Оцінка контексту, методи
аналізу і план обробки ризиків регулярно переглядаються та вдосконалюються
для відповідності сучасним викликам.
Арк.
ЧДТУ.24.23386.007 20
Змн. Арк. № докум. Підпис Дата
Контекстний аналіз. Цей етап включає визначення середовища
функціонування організації (у цьому випадку закладу охорони здоров’я), аналіз
пов’язаних із ним факторів ризику, оцінку цих факторів, встановлення критеріїв
прийняття ризиків і правил їхнього управління.
Аналіз середовища організації проводиться за кількома напрямками:
- Фізичне середовище. Враховується вплив фізичних явищ (стихійних лих,
пожеж, землетрусів тощо), а також технічних проблем (пошкодження
комунікаційних мереж). Усе це може порушувати нормальну діяльність закладу.
- Інформаційне середовище. Аналізуються інформаційні системи, дані,
інфраструктура зв’язку, медичні цифрові пристрої. Оцінюються ризики технічних
несправностей, відмови обладнання або ушкодження інформації.
- Середовище користувачів. Визначаються категорії користувачів, які мають
доступ до інформаційних активів та систем закладу. Для цього середовища
характерними факторами ризику є компрометація даних доступу або порушення
політики безпеки.
Контекстна оцінка включає визначення рівня ризикових факторів (низький,
середній або високий), що базується на оцінці ймовірності подій і можливих
наслідків. Попередній рівень ризику розраховується шляхом множення
ймовірності реалізації ризику на оцінку його наслідків.
Цей системний підхід до управління ризиками дозволяє забезпечити більшу
стійкість організації до кібератак
2.3 Процедура управління вразливостями
Цей документ описує організацію процесу управління вразливостями
інформаційних систем та активів у закладах охорони здоров’я (ЗОЗ). Метою
процесу є розробка правил і процедур, спрямованих на перегляд, оцінювання,
впровадження та перевірку оновлень ІТ-систем для зменшення або усунення
вразливостей в ІТ-середовищі ЗОЗ та мінімізацію пов’язаних із цим ризиків.
Арк.
ЧДТУ.24.23386.007 21
Змн. Арк. № докум. Підпис Дата
Система управління вразливостями включає такі етапи:
- ідентифікацію вразливостей;
- класифікацію вразливостей;
- підготовку до їх усунення;
- безпосереднє усунення вразливостей.
Цей процес є невід’ємною частиною загальної Політики інформаційної
безпеки ЗОЗ. Політика визначає конкретні кроки та механізми для ідентифікації,
класифікації, пріоритизації та ефективного усунення вразливостей з огляду на
специфіку ІТ-середовища ЗОЗ.
Для забезпечення управління вразливостями у ЗОЗ встановлено відповідний
розподіл обов’язків (деталі наведено в таблиці нижче):
1. Виявлення та ідентифікація вразливостей: здійснюється моніторинг ІТ-
систем і активів для аналізу їх роботи відповідно до заявлених виробником
технічних характеристик. Виявляються збої або відхилення. Виконавці:
користувачі, власник інформаційної системи (ІС), відповідальний за ІТ-підтримку.
2. Класифікація та оцінювання вразливостей: виконується попередній аналіз
можливих наслідків реалізації вразливості, визначається пріоритет і термін її
усунення. Виконавець: відповідальний за інформаційну безпеку ЗОЗ.
3. Вибір способу усунення: визначається оптимальний варіант виправлення
або усунення вразливості, а також необхідні ресурси. Виконавець: відповідальний
за інформаційну безпеку ЗОЗ.
4. Резервне копіювання: створюється резервна копія ресурсу або активу
перед початком робіт із виправлення. Виконавець: відповідальний за ІТ-
підтримку.
5. Тестування та впровадження змін: нова версія ІТ-системи або активу
проходить тестування, проводиться запровадження змін для усунення вразливості.
Виконавці: відповідальний за ІТ-підтримку, відповідальний за інформаційну
безпеку ЗОЗ.
Арк.
ЧДТУ.24.23386.007 22
Змн. Арк. № докум. Підпис Дата
6. Перевірка функціонування виправленої системи: виконується оцінка
роботи оновлених ІТ-систем чи активів із метою виявлення можливих відхилень
від заявлених характеристик. Виконавці: власник ІС, відповідальний за ІТ-
підтримку.
7. Облік усунутих вразливостей: ведеться актуальний журнал обліку
виправлених чи видалених вразливостей. Виконавець: відповідальний за
інформаційну безпеку ЗОЗ.
Процес управління охоплює кілька ключових етапів:
- ідентифікацію;
- класифікацію, визначення пріоритетності та термінів усунення;
- виділення ресурсів і підготовку до виправлення;
- проведення виправлень, перевірку їх ефективності й подальший облік [16]
У ЗОЗ застосовуються декілька методів для виявлення вразливостей,
зокрема моніторинг функціонування ІТ-систем, сканування інформаційних
активів та проведення тестів на проникнення. Додатково, вразливості можуть
бути виявлені під час дослідження інцидентів інформаційної безпеки.
Моніторинг інформаційних систем і активів здійснюється користувачами
цих систем. У разі виявлення несправностей програмного забезпечення робочих
станцій, користувачі зобов'язані інформувати підрозділ ІТ. Несправне програмне
забезпечення або апаратне забезпечення створює ризики для інформаційної
безпеки.
Якщо користувач або його керівник підозрює, що робоча станція могла бути
заражена вірусом, необхідно негайно повідомити до підрозділу ІТ та
відповідальному за інформаційну безпеку, зазначивши ознаки аномальної
поведінки комп'ютера (наприклад, блокування екрану, незвичайний доступ до
системного диску, нестандартна реакція на команди тощо) і час першого
виявлення такої поведінки. Також слід повідомляти про будь-які зміни у
використанні апаратного або програмного забезпечення, які могли призвести до
несправності.
Арк.
ЧДТУ.24.23386.007 23
Змн. Арк. № докум. Підпис Дата
Відповідальний за інформаційну безпеку зобов'язаний вжити необхідних
заходів для усунення несправності та надати звіт керівнику закладу з
рекомендаціями щодо запобігання подібним ситуаціям у майбутньому.
Сканування є важливим інструментом для оцінювання рівня захищеності
інформаційних систем та мереж. Воно полягає у дистанційній перевірці систем з
метою виявлення вразливостей, які можуть загрожувати конфіденційності,
цілісності та доступності інформаційних ресурсів. Сканування також спрямоване
на підвищення спостережності систем і мереж.
У закладах охорони здоров’я (ЗОЗ) сканування може проводитися як
власними силами, так і із залученням постачальників спеціалізованих послуг на
основі конкурсу. Державні ЗОЗ також мають можливість звертатися до CERT-UA
для виконання зовнішнього сканування портів.
Процес виявлення вразливостей здійснюється з використанням системи
сканування відповідно до періодичності.
Графік сканування вразливостей
- Сканування на основі встановлених агентів: перевіряється кінцеве
обладнання зі спеціальним ПЗ для виявлення вразливостей, некоректних
налаштувань і відсутності оновлень. Проводиться щотижня. [7]
- Внутрішнє пасивне сканування мережі: виконується автентифіковане
сканування кінцевого обладнання для виявлення вразливостей та інших помилок.
Проводиться щомісяця.
- Зовнішнє сканування портів: включає пасивне неавтентифіковане
сканування на предмет відкритих портів та інших елементів безпеки з точки зору
зовнішнього порушника безпеки. Виконується не рідше одного разу на рік.
Для захисту ЗОЗ використовуються спеціалізовані інструменти сканування
серверів, комп’ютерів, ноутбуків та іншого обладнання.
Застосовуються такі інструменти:
- Для перевірки мережі.
Арк.
ЧДТУ.24.23386.007 24
Змн. Арк. № докум. Підпис Дата
- Для перевірки робочих станцій та кінцевих пристроїв користувачів,
включно з цифровим медичним обладнанням.
- Для перевірки програмного забезпечення.
Тестування на проникнення також є одним із заходів виявлення
вразливостей, яке ЗОЗ організовує через конкурсну процедуру.
Періодичність тестів на проникнення
- Перевірка мережі: охоплює всі інформаційні системи. Проводиться
щорічно.
- Перевірка спеціалізованого програмного забезпечення (ПЗ): включає ПЗ
для обліку кадрів, медичних засобів та ліків, MIC. Постачальники підтверджують
проведення таких перевірок не рідше одного разу на рік. Процес тестування на
проникнення спеціалізованого програмного забезпечення, що використовується в
закладах охорони здоров’я (ЗОЗ), виконується постачальником такого ПЗ. Договір
про надання послуг передбачає обов’язкову наявність положення про
підтвердження проведення тестів на проникнення та усунення виявлених у
результаті тестування вразливостей.
При інцидентах інформаційної безпеки чи під час роботи із установами
кіберзахисту можуть бути виявлені вразливості, які не були зафіксовані під час
стандартного моніторингу, сканування або тестів на проникнення. Ці вразливості
мають документуватися у Журналі обліку інцидентів інформаційної безпеки.
Процедура ведення журналу визначається відповідною Політикою інформаційної
безпеки ЗОЗ або Планом реагування на інциденти.
Вразливості інформаційно-телекомунікаційних систем та програмного
забезпечення можуть бути повідомлені від виробника або профільного органу
кібербезпеки сфери охорони здоров’я. Будь-які вразливості, ідентифіковані
внаслідок інциденту чи отримані зі згаданих джерел, обробляються згідно з
чинною процедурою управління такими ризиками.
Класифікація вразливостей базується на ризик-орієнтованому підході, що
включає оцінювання рівня ризику, ймовірність його реалізації та можливі
Арк.
ЧДТУ.24.23386.007 25
Змн. Арк. № докум. Підпис Дата
наслідки для діяльності ЗОЗ. Критерії оцінки викладені у Політиці управління
ризиками інформаційної безпеки ЗОЗ і передбачають інтегровану оцінку впливу
на конфіденційність, цілісність та доступність даних.
Вразливості класифікуються за такими категоріями:
- Критичні: спричиняють катастрофічні наслідки, як-от значну втрату
медичних даних, тривалу зупинку закладу чи порушення функціонування
інформаційних систем.
- Високі: можуть значно вплинути на медичну практику чи спричинити
втрату певних обсягів даних або локальні збої у роботі систем.
- Середні: ймовірно призведуть до короткотривалого порушення роботи
систем або тимчасової недоступності окремих даних.
- Низькі: не створюють серйозних ризиків для конфіденційності, цілісності
чи доступності інформації та не становлять суттєвих загроз інформаційній безпеці.
Після класифікації визначається пріоритетність усунення кожної
вразливості на основі порядку управління ризиками. Підготовка до ліквідації
вразливостей включає вибір способу усунення та виділення необхідних ресурсів.
В ЗОЗ використовуються наступні методи усунення:
1. Оновлення програмного чи апаратного забезпечення. Виконується за
наявності оновленої версії від виробника та ресурсів для її впровадження.
Оцінюється можливість тестування оновлень перед інтеграцією у середовище ЗОЗ,
враховуючи критичність системи та забезпечення безперервності роботи
ключових процесів.
2. Зміна конфігурації. Застосовується, якщо недоступне актуальне
оновлення, або коли оновлення не вирішує проблему. Також цей метод
використовується за умов обмежених ресурсів для впровадження оновлень.
3. Компенсаційні заходи — альтернативні дії для зведення ризиків до
мінімуму.
Кожен метод реалізується з урахуванням поточного стану ресурсів, потреб
системи та вимог до її безперебійного функціонування.
Арк.
ЧДТУ.24.23386.007 26
Змн. Арк. № докум. Підпис Дата
2.4 Процедура планування відновлення після аварій
Документ описує порядок планування відновлення інформаційної
інфраструктури та складання плану відновлення після аварій (ПВПА) для закладів
охорони здоров’я (ЗОЗ). Основна мета — визначити послідовність дій до, під час і
після аварії для забезпечення безперебійної роботи. Планування відновлення є
складовою бізнес-континуїті на основі стандартів ISO 22301 та ISO 22313.[17]
Відповідальність за реалізацію документа покладено на керівника ЗОЗ та
ВІБ, а підтримка актуальності плану та виконання його дій закріплена за
власниками процесів чи інфраструктури.
Планування включає такі етапи:
- Оцінка критичних процесів, обладнання та інформації.
- Аналіз ризиків для критичних об'єктів.
- Визначення систем та можливостей відновлення.
- Установлення часового паспорту відновлення.
- Формування команд, розподіл обов’язків.
- Розробка послідовності відновлювальних дій.
- Критерії перевірки та тестування плану.
- Періодичний перегляд і оновлення.
ПВПА мають бути гнучкими для адаптації до непередбачуваних ситуацій.
На етапі визначення критичності ідентифікуються основні активи ЗОЗ, їх
пріоритетність для відновлення та список можливих надзвичайних ситуацій.
Розподіл інфраструктури (ІКС) проводиться відповідно до її складності.
Для ЗОЗ 1 категорії важливі елементи: медична інформаційна система
(МІС), пристрої для обробки персональних даних пацієнтів, інформація про кадри,
критична інформація для ЗОЗ, і сервери електронної пошти. Для ЗОЗ 2 категорії
додаються: система документообігу, бухоблік, внутрішні сховища даних і
мережеві пристрої.
Арк.
ЧДТУ.24.23386.007 27
Змн. Арк. № докум. Підпис Дата
Критичність визначають з урахуванням думок усіх підрозділів. Основні
ризики включають зупинку діяльності, скорочення обсягу послуг, притягнення до
відповідальності посадових осіб, а також фінансові збитки.
Критична інфраструктура потребує включення до ПВПА (план відновлення
після аварій). Оцінка ризиків має враховувати функції ЗОЗ (заклади охорони
здоров'я) для аналізу наслідків різних сценаріїв, зокрема "часткової" та "повної"
відмови. Для ЗОЗ 1 категорії обов'язковим є розгляд мінімум двох сценаріїв.
Процес виконується відповідно до політики управління ризиками інформаційної
безпеки.
У ПВПА враховуються ресурси як самого ЗОЗ, так і можливості
підрядників (наприклад, DDoS-захист хостинг-провайдера). Ресурси для
виконання критичних заходів мають бути доступні, адже успішне відновлення
часто вимагає швидких рішень.
Для кожного елемента інфраструктури визначаються показники ЦЧВ
(максимальний час простою) та ЦТВ (частота резервного копіювання), які
узгоджуються з бізнес-власником. ЦЧВ вказує на межі простою без серйозних
наслідків, а ЦТВ впливає на витрати та навантаження.
Команда з відновлення включає керівника, технічних фахівців і власника
бізнес-процесів (за потреби). Функції керівника: організація роботи команди,
періодичний перегляд планів, забезпечення ресурсами, контроль компетенцій,
звітування. Технічні фахівці мають всі необхідні знання для дій з відновлення.
Власник бізнес-процесу сприяє комунікації та перевіряє результати.
Планування охоплює дії та їхню послідовність, забезпечення передумов
(ПО, доступи, налаштування тощо), а також взаємодію між командами. План має
бути затверджений і доступний всім зацікавленим сторонам.
Критерії перевірки та тестування обумовлюються критичністю елемента і
можливостями. Перевірки відображаються у звітах із аналізом виявлених проблем.
Раз на три роки слід проводити сценарний тест на відмову без шкоди для роботи
Арк.
ЧДТУ.24.23386.007 28
Змн. Арк. № докум. Підпис Дата
ЗОЗ. План оновлюється щонайменше раз на рік або позапланово за потреби (зміни
в ресурсах або правилах, знайдені недоліки, негативні результати тестувань).
2.5 Політика антивірусного захисту
Політика забезпечення антивірусного захисту в закладах охорони здоров’я
(ЗОЗ) визначає загальні вимоги та порядок організації захисту інформаційних
ресурсів і цифрових активів від шкідливого програмного забезпечення. Основна
мета цієї політики – мінімізувати або повністю запобігти негативним наслідкам,
пов'язаним із діями зловмисників.
Вимоги, викладені в Політиці, поширюються на все серверне обладнання та
робочі станції ЗОЗ і мають обов’язковий характер для персоналу.
Цілі Політики такі:
- Підтримання належного рівня інформаційної безпеки в установі.
- Дотримання вимог законодавства України, міжнародних стандартів у
сфері інформаційної безпеки та внутрішніх норм Політики інформаційної безпеки
ЗОЗ.
- Захист активів ЗОЗ від порушень конфіденційності, цілісності та
доступності даних.
Основні завдання Політики включають:
- Формування принципів і вимог щодо антивірусного захисту.
- Захист інформаційних ресурсів ЗОЗ.
- Зменшення ризиків від кібератак.
- Запобігання вірусним атакам.
- Забезпечення стабільності медичних послуг і роботи установи.
Для забезпечення ефективного виконання цієї політики дозволяється
використання виключно антивірусного програмного забезпечення (ПЗ), що
централізовано закуповується у виробника. У разі потреби у використанні іншого
Арк.
ЧДТУ.24.23386.007 29
Змн. Арк. № докум. Підпис Дата
антивірусного ПЗ, необхідно отримати попередній дозвіл відповідальної особи за
інформаційну безпеку.
Дія політики поширюється на всі інформаційні ресурси й системи ЗОЗ. Для
її реалізації визначені конкретні функціональні ролі з відповідними обов’язками:
- Системний адміністратор підтримує та супроводжує інструменти системи
антивірусного захисту на кінцевому обладнанні, в мережі та інформаційних
системах, дотримуючись вимог Політики.
- Відповідальний за інформаційну безпеку контролює виконання положень
із захисту інформації та наглядає за їхнім дотриманням.
- Керівник закладу затверджує права доступу користувачів і приймає
рішення щодо закупівлі антивірусного ПЗ.
- Персонал зобов’язується:
- Виконувати вимоги цієї політики та загальної Політики інформаційної
безпеки.
- Сприяти запобіганню, виявленню та розслідуванню інцидентів, пов’язаних
з ІБ.
- Вживати всіх можливих заходів безпеки для запобігання чи мінімізації
збитків для ЗОЗ.
- Нести персональну відповідальність за дотримання вимог Політики на
своєму робочому місці.
Вимоги до антивірусного програмного забезпечення (ПЗ) та дії користувачів
Антивірусне програмне забезпечення повинно забезпечувати захист
робочих станцій і серверів, які працюють під управлінням операційної системи
Windows. Система антивірусного захисту має підтримувати функціонал для
віддаленого централізованого управління та обслуговування, що включає:
- встановлення та видалення антивірусного ПЗ і його компонентів;
- налаштування параметрів ПЗ і контроль їх дотримання користувачами;
- централізоване створення та дистанційний запуск завдань, таких як
перевірка жорстких дисків, зовнішніх носіїв тощо;
Арк.
ЧДТУ.24.23386.007 30
Змн. Арк. № докум. Підпис Дата
- керування ліцензіями, включаючи встановлення ключів та моніторинг
виконання умов ліцензійної угоди;
- автоматичне оновлення баз даних вірусів і модулів антивірусного ПЗ;
- централізований збір і реєстрацію даних про інциденти безпеки, а також
інформування системного адміністратора про них.
Оновлення баз даних антивірусного ПЗ має виконуватись щодня в
автоматичному режимі для інформаційних систем закладу. Робочі станції, які не
підключені до мережі, повинні оновлювати бази даних хоча б раз на тиждень. Для
систем, що під'єднані до мережі, розподіл оновлень повинен здійснюватися
централізовано через сервер антивірусного захисту. Для автономних станцій
оновлення проводиться за допомогою зовнішніх носіїв.
Клієнтські антивіруси мають щоденно перевіряти наявність актуальних
оновлень баз та програмних компонентів на сервері оновлень і встановлювати їх
за потреби.
Функціональні можливості антивірусного ПЗ:
- виявлення вірусів у пам'яті ПК та на підключених носіях;
- ідентифікація та видалення шкідливого програмного забезпечення;
- ізоляція або видалення інфікованих файлів у разі неможливості їх
лікування;
- сповіщення про загрози як користувача, так і системного адміністратора;
- автоматичне ведення журналу подій;
- захист від несанкціонованої зміни конфігурації або видалення ПЗ без
дозволу адміністратора.
Обмеження прав користувачів:
- заборонено змінювати налаштування ПЗ;
- не дозволяється вимикати антивірусну програму;
- видалення антивірусного ПЗ суворо заборонене.
Порядок встановлення та використання
Арк.
ЧДТУ.24.23386.007 31
Змн. Арк. № докум. Підпис Дата
Антивірусне ПЗ встановлюється на ПК і серверах для запобігання вірусним
атакам та перевірки отриманих файлів (у тому числі з електронної пошти й
зовнішніх носіїв). Його інсталяція здійснюється при налаштуванні нового
обладнання або після перевстановлення операційної системи.
Антивірусні програми мають бути інстальовані та своєчасно оновлюватись
на всіх пристроях. Використання обладнання без установленого захисту від
вірусів не дозволяється. У разі виявлення такого випадку, слід негайно встановити
ПЗ та виконати повне сканування на наявність загроз.
Програми встановлюються зі стандартною конфігурацією, підготовленою
системним адміністратором. Конфігурація передбачає регулярне оновлення баз
даних і періодичні перевірки системи на шкідливе ПЗ.
Розклад перевірок робочих станцій:
- постійно увімкнений проактивний захист;
- повна перевірка — кожні 2 тижні;
- швидка перевірка — при вмиканні ПК або оновленні вірусних баз (аналіз
оперативної пам'яті та завантажувальних секторів);
- перевірка за запитом — у будь-який час.
Виявлення та усунення загроз є ключовими складовими системи захисту
інформації. Усі дії, пов'язані з використанням антивірусного програмного
забезпечення, повинні бути задокументовані. Копії цих журналів необхідно
зберігати на окремому комп'ютері або сервері. Журнали повинні залишатися в
оперативному доступі щонайменше три місяці, а в архіві – не менше одного року.
Системний адміністратор зобов'язаний негайно повідомляти відповідальну
за інформаційну безпеку особу у таких ситуаціях:
- виявлення шкідливих програм;
- зафіксовані мережеві атаки;
- помилки під час оновлення антивірусних баз;
- несправності або помилки в ініціалізації модулів захисту.
Арк.
ЧДТУ.24.23386.007 32
Змн. Арк. № докум. Підпис Дата
Організація впровадження, контроль виконання положень Політики
антивірусного захисту і своєчасне внесення змін до неї покладаються на
відповідальну за інформаційну безпеку особу закладу охорони здоров’я.
Забезпечення ресурсів, необхідних для впровадження Політики, є обов'язком
керівництва закладу.
Виконання вимог Політики антивірусного захисту є обов’язком усього
персоналу закладу охорони здоров’я. Кожен працівник несе персональну
відповідальність за дотримання чинних правил і вимог, встановлених Політикою,
відповідно до ступеня відповідальності за порушення заходів інформаційної
безпеки.
2.6 Політика контролю доступу
Мета цієї політики – забезпечити контроль за доступом до інформаційних
ресурсів і пристроїв, а також впровадити процедури, що гарантують належний
рівень захищеності інформації. Особливу увагу приділено захисту персональних
даних та інформації з обмеженим доступом, що становить один із ключових
пріоритетів.
Розподіл ролей у контролі доступу:
- Керівник закладу відповідає за визначення основної політики.
- Відповідальний за інформаційну безпеку координує її реалізацію.
- Персонал зобов'язаний дотримуватись зазначених вимог у межах своїх
посадових обов’язків.
Ідентифікація користувачів:
Кожен користувач має використовувати унікальний обліковий запис (логін)
і пароль для входу. Система контролю доступу забезпечує ідентифікацію кожного
користувача з допомогою унікальних облікових записів і блокує
несанкціонований доступ до інформаційних ресурсів закладу. Основні вимоги до
ідентифікації включають:
Арк.
ЧДТУ.24.23386.007 33
Змн. Арк. № докум. Підпис Дата
- Надання кожному користувачеві унікального облікового запису.
- Персональну відповідальність користувачів за правильне використання
свого облікового запису.
Періодична перевірка облікових записів здійснюється щонайменше раз на
рік. Усі неактивні облікові записи блокуються. Відділ кадрів інформує
відповідального за інформаційну безпеку або спеціаліста IT-відділу про
звільнення працівників чи завершення співпраці з підрядниками. Після отримання
такого повідомлення всі пов'язані неактивні облікові записи блокуються.
Обліковий запис автоматично блокується після трьох невдалих спроб входу.
Щоб відновити доступ, необхідне залучення адміністратора чи спеціаліста IT-
відділу.
Користувачам, які потребують доступу до мереж або систем закладу,
необхідно заповнити Форму Доступу (Додаток 1). Ця форма повинна бути
підписана безпосереднім керівником і затверджена керівником закладу або
відповідальним за інформаційну безпеку.
Правила щодо паролів:
Для входу в мережі чи робочі станції користувачі повинні використовувати
особисті ідентифікатори та паролі, що відповідають вимогам Парольної політики.
Це передбачає:
- Довжина пароля – не менше 8 символів.
- Склад пароля – використання великих і малих літер латинського алфавіту,
цифр і спеціальних символів.
- Частота зміни – кожні 30 днів. У разі компрометації пароль необхідно
змінити негайно.
- Уникнення повторів – заборонено використання попередніх шести паролів.
- Обмеження на передачу – паролі не можна передавати іншим особам,
записувати на папері або зберігати відкрито.
- Маскування та зберігання – паролі при введенні не відображаються на
екрані та зберігаються лише у зашифрованій формі.
Арк.
ЧДТУ.24.23386.007 34
Змн. Арк. № докум. Підпис Дата
При працевлаштуванні всі співробітники підписують угоду про
конфіденційність, яка містить зобов’язання нерозголошення конфіденційної
інформації навіть після завершення трудових відносин. Тимчасові працівники та
підрядники також підписують таку угоду перед отриманням доступу до
інформаційних ресурсів закладу.
Контроль доступу:
Інформаційні ресурси захищені системою контролю доступу, яка поєднує
внутрішні заходи (паролі, шифрування, таблиці доступу, налаштування
інтерфейсів) і зовнішні рішення (захисні пристрої, брандмауери, автентифікація
на основі хоста тощо).
Доступ до ресурсів регламентує власник ресурсу. Для отримання доступу
необхідно заповнити форму запиту
Під час надання доступу дотримуються принципу мінімально необхідного
використання ресурсів, щоб виконати покладені завдання. Користувачу надається
доступ до конкретного ресурсу лише після затвердження запиту його керівником
або головним лікарем, і тільки в межах обсягу, зазначеного у запиті.
У закладі передбачено оповіщення на екранах робочих станцій про можливе
несанкціоноване використання ресурсів, а також про відповідальність, яку несе
порушник.
Програмне забезпечення, що забезпечує управління безпекою кінцевих
пристроїв, повинно підтримувати онлайн-авторизацію під час використання
додатків. Кожне підключення зобов'язане проходити авторизацію шляхом
введення логіна та пароля.
Для систем, які містять обмежену або персональну ідентифікаційну
інформацію (ПІІ), впроваджено правило «все заборонено, доки не дозволено».
Також створено матрицю контролю доступу, яка фіксує санкціонований доступ
користувачів відповідно до їхніх ролей. Доступ для кожної ролі обмежується
тільки тією інформацією, яка необхідна для виконання професійних завдань.
Фізичний доступ дозволяється лише до обладнання, програмного забезпечення,
Арк.
ЧДТУ.24.23386.007 35
Змн. Арк. № докум. Підпис Дата
процедур або приміщень, необхідних для виконання конкретної ролі. Матриця
контролю доступу має оновлюватися відповідальною особою як мінімум раз на
рік.[5]
Привілейовані та технічні облікові записи закріплені за певним
співробітником з урахуванням його функцій і ролі. Звичайні користувачі не
отримують привілейованих прав доступу. Кожен технічний обліковий запис має
свого відповідального власника.
Дані користувача для входу в систему передаються безпосередньо йому або
через безпечні канали зв’язку. Ця інформація не записується на носії й не
передається третім особам. Архівування даних про всі значущі події, пов’язані з
ідентифікацією користувачів та управлінням автентифікаційною інформацією,
забезпечується технічними засобами.
Після успішного входу користувач зобов’язаний залишати обладнання під
контролем і блокувати або завершувати активні сеанси в міру необхідності.
Завершення роботи в системі здійснюється одразу після її завершення
користувачем.
Перевірка відповідності прав доступу займаним посадам, ролям та
виконуваним обов’язкам проводиться керівником не рідше одного разу на рік. Під
час перевірки враховуються всі облікові записи: звичайні, привілейовані та
технічні. Водночас для привілейованих і технічних облікових записів оцінюється
ступінь відповідності наданих прав фактичному їх використанню.
Процедури припинення права доступу також мають бути чітко
регламентовані й відповідати встановленим нормам.
Арк.
ЧДТУ.24.23386.007 36
Змн. Арк. № докум. Підпис Дата
2.7 Політика використання мереж
Метою цієї політики є впровадження ефективного контролю доступу до
мережі та її сервісів, а також забезпечення процедур, які гарантують, що
користувачі можуть отримати доступ до мережевих ресурсів лише за умови
прямої авторизації. Особливий акцент робиться на захист інформації з обмеженим
доступом, зокрема персональних даних, що є одним із пріоритетів.
Розподіл ролей для контролю доступу:
- Керівник закладу встановлює цю політику.
- Відповідальний за інформаційну безпеку здійснює її координацію.
- Персонал забезпечує дотримання політики відповідно до своїх посадових
обов’язків.
Політика доступу до Інтернету:
Державні медичні заклади закуповують послуги доступу до Інтернету
виключно у телекомунікаційних операторів або провайдерів, що відповідають
вимогам зі створення Захищених вузлів доступу до Інтернету (ЗВІД) згідно з
чинним переліком затверджених провайдерів, які мають відповідні атестати
систем захисту.
Усі пристрої, які потребують підключення до Інтернету, мають
розміщуватися у DMZ-зоні. При цьому ті пристрої, що не використовують
Інтернет-з’єднання, у DMZ-зоні перебувати не повинні. Доступ до Інтернету
надається лише тим співробітникам, яким потрібен цей ресурс для виконання
службових обов’язків. Оскільки заклад витрачає бюджетні кошти на забезпечення
Інтернет-доступу, використання цього ресурсу регламентується такими умовами.
Заборонено використовувати Інтернет для розваг, прослуховування музики, радіо,
аудіокниг чи перегляду відеоматеріалів, а також для особистої комерційної
діяльності чи вирішення побутових питань. Під забороною також використання
ресурсів, що не відповідають службовим завданням. Список заборонених
вебресурсів постійно оновлюється відповідальними особами. Співробітники, які
Арк.
ЧДТУ.24.23386.007 37
Змн. Арк. № докум. Підпис Дата
свідомо й неодноразово намагатимуться отримати доступ до заборонених
ресурсів, можуть бути притягнуті до дисциплінарної відповідальності аж до
звільнення.
Для захисту конфіденційних даних вживаються заходи з обмеження
зовнішнього доступу до внутрішніх інформаційних ресурсів закладу через
Інтернет. Також забезпечується безпечна передача даних під час роботи в мережі.
Контроль за дотриманням безпечного використання доступу до Інтернету
здійснює відповідальний за інформаційну безпеку.
Підключення до мережі та з’єднання:
Доступ до внутрішніх інформаційних ресурсів здійснюється через модеми,
комунікаційні пристрої чи програмне забезпечення з обов’язковою авторизацією
та автентифікацією через систему контролю доступу. Забороняються будь-які
зовнішні виклики або підключення до внутрішніх пристроїв поза межами
установленої системи контролю. Усі системи, які дозволяють зовнішні виклики
безпосередньо на сервер або кінцевий пристрій, повинні додатково забезпечувати
високий рівень безпеки як на рівні операційної системи, так і на рівні застосунків.
Вони також повинні бути оснащені функціями моніторингу активності для
належного дотримання заходів захисту.
Надання прав на підключення через комутатори здійснюється лише за
письмовим запитом керівника відповідного відділу та поданням форми доступу.
Остаточне підтвердження здійснює керівник закладу або відповідальний
спеціаліст з інформаційної безпеки. Підключення до зовнішніх мереж
відбувається через послуги інтернет-провайдерів. Якщо виникає потреба у
безпосередньому підключенні до зовнішніх ресурсів за допомогою прямого
каналу зв’язку, користувач повинен
Сегментація мережі
Мережа установи поділена на такі сегменти:
Внутрішня мережа.
Арк.
ЧДТУ.24.23386.007 38
Змн. Арк. № докум. Підпис Дата
Технологічна мережа (за умови наявності підключених керованих
пристроїв).
Демілітаризована зона (якщо в мережі використовуються пристрої з
доступом до Інтернету).
Зовнішня мережа для віддалених чи хмарних сервісів (за їх наявності).
Гостьова мережа (за умови надання гостьового доступу).
Сегменти мережі забезпечують ізоляцію один від одного завдяки фізичним і
логічним механізмам розмежування. Вони захищені від інших мереж за
допомогою захисного периметра, створеного через використання міжмережевого
екрана (брандмауера). Доступ із зовнішніх мереж до ІТ-сервісів установи
дозволяється виключно для сервісів, які мають бути публічно доступними. Доступ
до відкритих портів і протоколів обмежений лише необхідними для
функціонування таких сервісів. Технічне блокування підключення сторонніх
мережевих пристроїв до обчислювальних засобів здійснюється завдяки політикам
безпеки операційної системи. Заборонено використання бездротових
подовжувачів та підсилювачів сигналу. Сигнал точок бездротового доступу
обмежено межами фізичного периметра установи, тому він недоступний за
межами її приміщень.
Заходи для обмеження доступу до внутрішньої мережі
Підключення до внутрішньої мережі можливе виключно для авторизованих
пристроїв і засобів оброблення інформації відповідно до "Політики контролю
доступу". Для управління доступом застосовується протокол 802.1x або
технології NAC (Network Access Control) з метою автоматичної перевірки
відповідності кінцевих пристроїв вимогам безпеки. У разі невідповідності
вимогам, пристрої переводяться в карантинну зону для усунення
невідповідностей перед наданням доступу до ресурсів мережі. Для віддаленого
підключення користувачі проходять багатофакторну автентифікацію.
Доступ через бездротові мережі до інформаційних ресурсів із обмеженим
доступом дозволяється лише у виключних випадках, якщо це виправдано
Арк.
ЧДТУ.24.23386.007 39
Змн. Арк. № докум. Підпис Дата
службовою необхідністю, і лише за письмовим дозволом керівництва відповідно
до "Політики контролю доступу".
Заходи для обмеження доступу до гостьової мережі
Гостьова мережа ізольована від внутрішніх ІТ-сервісів. Доступ до Інтернету
через гостьову мережу фільтрується та спрямовується через проксі-сервер.
Заборонено доступ до небажаного веб-контенту; фільтрація здійснюється з
урахуванням правил прийнятного використання гостьового доступу. Для
гостьових підключень встановлено обмеження пропускної здатності трафіку. Усі
гостьові підключення контролюються й моніторяться ІТ-відділом. Перед
отриманням доступу, користувачам пропонується ознайомитися та погодитися з
Умовами використання. Ці Умови розроблено юристами з метою захисту
установи від можливих претензій з боку користувачів у випадку втрат або шкоди
внаслідок шкідливого контенту або нечіткої політики надання послуг.
Адміністративний доступ до мережевих пристроїв захищено паролем.
Користувачам із базовими правами не дозволяється змінювати параметри
мережевого середовища робочого комп’ютера. Міжмережева маршрутизація між
зовнішніми інтерфейсами ПК кінцевих користувачів вимкнена на рівні ядра
операційної системи.
2.8 Політика криптографічного захисту
Метою політики криптографічного захисту є забезпечення належного та
ефективного використання криптографічних технологій для захисту
конфіденційності, автентичності, цілісності та/або неспростовності інформації.
Пріоритетом є захист інформації з обмеженим доступом, зокрема персональних
даних.
Криптографічний захист інформації шляхом шифрування є
найефективнішим способом гарантування безпеки даних ЗОЗ. Завдяки
шифруванню дані, що зберігаються чи передаються, стають недоступними для
Арк.
ЧДТУ.24.23386.007 40
Змн. Арк. № докум. Підпис Дата
сторонніх осіб, окрім тих, хто має авторизований доступ. Для отримання доступу
до зашифрованої інформації потрібен секретний ключ або пароль, що дозволяє
розшифрувати дані.
ЗОЗ використовує такі засоби криптографічного захисту:
- кваліфікований електронний підпис;
- шифрування файлів та електронної пошти;
- захист портів мережевого обладнання;
- захист онлайн-ресурсів;
- програму-архіватор WinZip;
- протокол sFTP для передачі файлів;
- веб-інтерфейс SSL/TLS;
- використання SSH;
- шифрування носіїв і файлових систем;
- шифрування інформації з обмеженим доступом у хмарних сервісах.
Захист інформації, що обробляється, передається або зберігається у
медичних інформаційних системах (МІС), здійснюється провайдером МІС. ЗОЗ
використовує засоби криптографії, надані провайдером МІС для роботи з
відповідною медичною інформаційною системою.
На електронні документи та дані, що вводяться у МІС, накладається
кваліфікований електронний підпис автора відповідно до вимог, встановлених
порядком роботи з медичною інформаційною системою. Криптографічний захист
застосовується для захисту конфіденційної та медичної інформації ЗОЗ.[19]
Передача конфіденційних даних через загальнодоступні мережі чи Інтернет
обов’язково супроводжується шифруванням.
Конфіденційна інформація МІС, що обробляється, передається або
зберігається, захищається засобами криптографії провайдера цієї системи.
Відповідно до статті 8 Закону України "Про захист інформації в
інформаційно-комунікаційних системах", державні інформаційні ресурси або
інформація з обмеженим доступом, захист якої регулюється законом, мають
Арк.
ЧДТУ.24.23386.007 41
Змн. Арк. № докум. Підпис Дата
оброблятися із застосуванням комплексної системи захисту інформації з
підтвердженою відповідністю.
Державні та комунальні заклади охорони здоров’я, як оператори службових,
конфіденційних та інших видів інформації (зокрема тієї, що є державною
власністю або підпадає під визначення службової чи таємної відповідно до
нормативно-правових актів), повинні дотримуватися положень чинного
законодавства і нормативних документів.
Щорічно відповідальний за інформаційну безпеку проводить перевірку
відповідності кількості ключів та сертифікатів, а також місць їх розміщення і
зберігання даним реєстру ключів. Усі виявлені невідповідності фіксуються у звіті
й класифікуються як інциденти інформаційної безпеки.
Працівники несуть персональну відповідальність за дотримання політики
криптографічного захисту відповідно до встановлених стандартів і правил. Оцінка
та контроль виконання політики покладаються на відповідального за
інформаційну безпеку ЗОЗ.
2.9 Процедура роботи з персональними даними
Відповідно до Закону України «Про інформацію», інформація з обмеженим
доступом поділяється на конфіденційну, таємну та службову. Персональні дані
належать до категорії конфіденційної інформації та охоплюють відомості або
сукупності відомостей про фізичну особу, яка ідентифікована або може бути
ідентифікована. У контексті закладів охорони здоров’я (ЗОЗ) прикладом
персональних даних є вся інформація про стан здоров’я людини, а також
пов’язані з цим дані, включаючи генетичну інформацію.
Дані про стан здоров’я особи відносяться до медичної інформації, яка
включає не лише відомості про стан здоров’я, але й історію хвороби,
запропоновані обстеження та лікувальні заходи, прогноз подальшого розвитку
захворювання, а також інформацію про ризики для життя чи здоров’я особи.
Арк.
ЧДТУ.24.23386.007 42
Змн. Арк. № докум. Підпис Дата
Документ регламентує порядок обробки персональних даних у ЗОЗ. Він
затверджується керівником закладу та зберігається у відповідального за
інформаційну безпеку закладу. У разі відсутності окремого відповідального,
призначена особа зі складу персоналу виконує його функції. З документом мають
бути ознайомлені і зобов’язані дотримуватися вимог усі працівники (штатні та
тимчасові), незалежно від місця роботи (на робочому місці, в приміщенні ЗОЗ чи
дистанційно), а також підрядники, які працюють із персональними даними в
межах закладу.
Обробка персональних даних здійснюється для цілей охорони здоров’я,
включаючи встановлення медичного діагнозу, надання лікування та інших
медичних послуг, моніторинг якості медичних послуг, а також функціонування
електронної системи охорони здоров’я. Виключно особи, які мають відповідні
повноваження (медичні працівники, фахівці з реабілітації, підприємці із ліцензією
на медичну практику чи їхні уповноважені працівники), можуть обробляти ці дані
відповідно до законів, що регулюють лікарську таємницю.
Якщо обробка персональних даних проводиться не у зазначених вище цілях
(наприклад, для маркетингу, розсилок або взаємодії із фармацевтичними
компаніями), вона можлива виключно за іншими законними підставами,
визначеними Законом України «Про захист персональних даних». Серед таких
підстав може бути однозначна згода суб’єкта персональних даних (приклад
наведеного погодження міститься у додатку до документа). В обґрунтованих
випадках застосовуються норми статей 7 та 11 цього самого закону.
Суб’єктом персональних даних вважається фізична особа, чиї персональні
дані обробляються. У визначених цілях ЗОЗ здійснює обробку даних осіб, які
звертаються за медичною чи реабілітаційною допомогою або вже отримують такі
послуги.
Медичні працівники обробляють наступний перелік персональних даних:
- паспортні дані;
- індивідуальний податковий номер;
Арк.
ЧДТУ.24.23386.007 43
Змн. Арк. № докум. Підпис Дата
- номер телефону;
- електронна адреса;
- адреса реєстрації та фактичного проживання;
- історія відвідувань медиків;
- історія хвороби.
Використання цих даних можливе виключно у межах професійних чи
службових обов’язків. Медичні працівники зобов’язані забезпечувати
конфіденційність будь-якої переданої їм інформації навіть після припинення
трудових чи службових відносин у випадках, передбачених законодавством.
Порушення правил обробки і захисту персональних даних тягне за собою
відповідальність згідно із законодавством України. Відповідальність за процедури
роботи із персональними даними у закладі покладається на керівника ЗОЗ
2.10 Політика чистого столу/екрана
Одним із засобів контролю інформаційної безпеки є політика чистого столу
та екрану, що знижує ризик несанкціонованого доступу, втрати чи пошкодження
інформації як під час роботи, так і після. Ця політика забезпечує, щоб
конфіденційна інформація у будь-якому форматі та активи (робочі станції,
ноутбуки, смартфони тощо) не залишалися без захисту, коли їх не
використовують або працівники відсутні на робочому місці.
Мета впровадження політики в Назва ЗОЗ:
- запобігання витоку та втраті конфіденційних даних;
- розвиток кібергігієни та безпечного поводження з інформацією;
- формування позитивного іміджу серед пацієнтів.
Правила для персоналу:
- Зберігати паролі в таємниці, не записувати їх у незахищеному вигляді.
- Закривати активні сеанси, якщо вони не заблоковані автоматично. Час
блокування екрана – 10 хвилин.
Арк.
ЧДТУ.24.23386.007 44
Змн. Арк. № докум. Підпис Дата
- Виходити із систем після завершення роботи.
- Зберігати паперові носії інформації у сейфі чи шафі після використання.
- Наприкінці дня прибирати робоче місце та зберігати документи у закритих
шафах або сейфах.
- Утилізувати конфіденційні документи через знищувач паперу.
- Замикати сейфи та шафи з документами під час тривалої відсутності.
- Забирати документи із принтерів одразу після друку.
Всі пристрої, що не використовуються, повинні бути вимкнені або
переведені в безпечний режим. Робочі станції та медичне обладнання мають бути
залишені у стані виконаного виходу з системи.
2.11 Політика управління інцидентами інформаційної безпеки
Основними цілями Політики управління інцидентами інформаційної
безпеки є: оперативне відновлення функціонування комп’ютерного обладнання,
обчислювальних систем та інших ІТ-ресурсів;
мінімізація впливу інцидентів на діяльність закладу охорони здоров’я;
гарантія виявлення та документування усіх випадків порушення
інформаційної безпеки;
залучення необхідних ресурсів для ефективного реагування на інциденти;
впровадження превентивних заходів для зменшення ймовірності подібних
інцидентів у майбутньому.
До завдань Політики управління інцидентами належать:
постійний моніторинг інформаційної безпеки;
виявлення, реєстрація, реагування, розслідування і аналіз інцидентів;
інформування керівництва та зацікавлених сторін про стан безпеки.
Процес управління інцидентами в закладі охорони здоров’я включає такі
етапи:
підготовка до інцидентів;
Арк.
ЧДТУ.24.23386.007 45
Змн. Арк. № докум. Підпис Дата
виявлення і повідомлення про інциденти;
безпосереднє реагування;
розслідування і формування звітності;
інформування постраждалих осіб та зацікавлених сторін;
запобігання майбутнім інцидентам.
У рамках підготовки до інцидентів:
створюється Робоча група реагування на кіберінциденти під керівництвом
керівника закладу;
відповідальний за ІБ розробляє План реагування на такі ситуації;
працівники проходять навчання і тренінги щодо оперативного реагування;
при необхідності створюються інструкції з детальним порядком дій при
виникненні інциденту.
При виявленні порушень чи інцидентів працівники мають негайно
повідомити своєму безпосередньому керівнику або відповідальному за ІБ.
Розслідування інциденту здійснюється Робочою групою, яка аналізує
обставини, причини, наслідки і супутні ризики. Розглядаються такі фактори, як:
характер постраждалого активу та його значення для роботи закладу;
необхідні ресурси для відновлення функціональності;
ризики невиконання договірних зобов'язань;
можливість втрати або компрометації даних, а також варіанти їх
відновлення;
ризики фізичних чи матеріальних збитків для осіб;
загроза репутаційної шкоди закладу;
масштаби втраченої чи скомпрометованої інформації.
Звіт про інцидент формується після завершення всіх дій розслідування. Він
містить:
опис події та спосіб її виявлення;
аналіз причин і обставин інциденту;
перелік заходів реагування;
Арк.
ЧДТУ.24.23386.007 46
Змн. Арк. № докум. Підпис Дата
рекомендації для зниження подібних ризиків у майбутньому.
Заклад може повідомляти правоохоронні органи (CERT-UA, кіберполіцію)
про виявлений інцидент. У разі звернення до компетентних органів звіти
передаються до Центрального апарату Міністерства охорони здоров’я згідно з
чинними нормативами. Також постраждалим особам необхідно повідомити про
витік їх персональних або медичних даних не пізніше двох місяців після події.
Таке повідомлення повинно включати:
опис ситуації;
інформацію про скомпрометовані дані;
поради для постраждалих щодо подальших дій;
деталі заходів, яких ужито закладом для запобігання повторенню ситуації;
контактну інформацію для додаткових запитів.
2.12 Висновки
В рамках цього розділу проведено детальний аналіз основних компонентів
системи забезпечення інформаційної безпеки в закладах охорони здоров’я та
розроблено шаблони відповідних політик. Отримані результати дозволяють
зробити такі висновки:
1. Комплексність підходу: Розроблені шаблони політик охоплюють широкий
спектр аспектів інформаційної безпеки, від загальних принципів до конкретних
процедур, що забезпечує всебічний захист інформаційних активів закладів
охорони здоров’я.
2. Відповідність стандартам: Шаблони створені з урахуванням вимог
міжнародних стандартів (ISO/IEC 27001, GDPR), що гарантує високий рівень
захисту інформації та сприяє інтеграції системи управління інформаційною
безпекою в загальну систему менеджменту закладу.
Арк.
ЧДТУ.24.23386.007 47
Змн. Арк. № докум. Підпис Дата
3. Гнучкість та адаптивність: Шаблони є універсальними і можуть бути
адаптовані до специфічних потреб будь-якого закладу охорони здоров’я,
незалежно від його розміру та типу.
4. Актуальність: Розроблені шаблони враховують сучасні загрози
інформаційній безпеці та тенденції розвитку технологій, що забезпечує їхню
актуальність.
5. Зрозумілість та доступність: Шаблони написані простою і зрозумілою
мовою, що дозволяє використовувати їх для навчання персоналу та залучення до
процесу забезпечення інформаційної безпеки всіх співробітників закладу.
6. Можливість масштабування: Шаблони можуть бути розширені та
доповнені додатковими політиками та процедурами в міру розвитку
інформаційної системи закладу та появи нових загроз.
Основні переваги розроблених шаблонів:
 Збільшення рівня захисту інформації: Шаблони допомагають виявити та
усунути вразливості в системі інформаційної безпеки, знизити ризик
кібератак та інших інцидентів.
 Спрощення процесу впровадження системи управління інформаційною
безпекою: Наявність готових шаблонів значно скорочує час та зусилля,
необхідні для створення власної системи.
 Підвищення довіри пацієнтів: Демонстрація закладом своєї відповідальності
за захист персональних даних пацієнтів підвищує рівень довіри до закладу.
 Спрощення аудиту та сертифікації: Наявність чіткої та структурованої
системи документації сприяє успішному проходженню аудиту та
отриманню сертифікатів відповідності.
Розроблені шаблони політик інформаційної безпеки є важливим
інструментом для забезпечення захисту інформації в закладах охорони здоров’я.
Їх використання дозволить підвищити рівень кібербезпеки, забезпечити довіру
пацієнтів та сприяти безперебійній роботі закладів.
Арк.
ЧДТУ.24.23386.007 48
Змн. Арк. № докум. Підпис Дата
РОЗДІЛ 3 ВПРОВАДЖЕННЯ СИСТЕМИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В
ЗАКЛАДАХ ОХОРОНИ ЗДОРОВ’Я
3.1 Характеристика об'єкту
Характеристика об’єкта: КНП “Черкаська міська інфекційна лікарня”
Загальна інформація
 Назва закладу: КНП “Черкаська міська інфекційна лікарня”
 Основна сфера діяльності: Вторинна спеціалізована медична допомога
 Адреса: м. Черкаси, Самійла кішки 210/1
 Загальна кількість персоналу: 200 осіб
 Загальна кількість ліжко-місць: 160
 Кількість персоналу, задіяного в роботі з ІТ: 150 осіб
 Кількість комп’ютерної техніки (ПК/ноутбуки): 90 одиниць
 Кількість оргтехніки: 25 одиниць
 Локальні мережі: 1
 Серверне обладнання: 2 одиниці
 Система відеоспостереження: 1
 Медичні інформаційні системи: 2
 Бухгалтерські інформаційні системи: 1
Наявність іншої мікропроцесорної техніки: Так
Аналіз інформаційної інфраструктури
На підставі наданих даних можна зробити наступні висновки щодо
інформаційної інфраструктури лікарні:
 Високий рівень комп’ютеризації: Наявність значної кількості
комп’ютерної техніки та оргтехніки свідчить про високий рівень
комп’ютеризації лікарні. Це дозволяє автоматизувати багато процесів та
підвищити ефективність роботи медичного персоналу.
 Наявність необхідного програмного забезпечення: Використання
медичних та бухгалтерських інформаційних систем свідчить про наявність
Арк.
ЧДТУ.24.23386.007 49
Змн. Арк. № докум. Підпис Дата
необхідного програмного забезпечення для ведення медичної документації
та обліку.
 Розвинена локальна мережа: Наявність локальної мережі дозволяє
об’єднати всі комп’ютери лікарні в єдину систему, що забезпечує обмін
даними та централізоване управління.
 Забезпечення безпеки: Наявність системи відеоспостереження свідчить
про вжиття заходів для забезпечення фізичної безпеки об’єкта.
Потенційні проблеми та напрямки вдосконалення
Незважаючи на загалом позитивну картину, існують певні аспекти, які
потребують додаткового аналізу та, можливо, вдосконалення:
 Співвідношення кількості персоналу та комп’ютерної техніки:
Співвідношення 150 осіб, задіяних в роботі з ІТ, до 90 комп’ютерів може
свідчити про недостатню кількість техніки для забезпечення ефективної
роботи всіх співробітників.
 Безпека інформації: Необхідно провести детальний аналіз рівня
захищеності інформаційних систем від кібератак та несанкціонованого
доступу.
 Інтеграція систем: Важливо оцінити рівень інтеграції різних
інформаційних систем, що використовуються в лікарні. Відсутність єдиної
інтегрованої системи може призводити до дублювання даних та
ускладнювати обмін інформацією між відділеннями.
 Оновлення програмного забезпечення: Необхідно регулярно оновлювати
програмне забезпечення для усунення вразливостей та забезпечення його
відповідності сучасним вимогам.
 Підготовка персоналу: Співробітники повинні регулярно проходити
навчання з використання інформаційних систем та правил інформаційної
безпеки.
Арк.
ЧДТУ.24.23386.007 50
Змн. Арк. № докум. Підпис Дата
КНП “Черкаська міська інфекційна лікарня” має достатньо розвинену
інформаційну інфраструктуру, що дозволяє автоматизувати багато процесів та
підвищити ефективність роботи. Однак, для подальшого розвитку та забезпечення
максимальної безпеки інформації необхідно провести детальний аудит існуючої
системи та розробити план заходів щодо її вдосконалення.
Необхідно:
 Провести детальний аудит інформаційної безпеки.
 Оцінити рівень інтеграції різних інформаційних систем.
 Розробити план модернізації обладнання та програмного забезпечення.
 Забезпечити регулярне навчання персоналу.
 Впровадити систему моніторингу та управління інцидентами інформаційної
безпеки.
 Оцінка надійності мережі: Провести аудит мережі на предмет
вразливостей та розробити план захисту від кібератак.
 Аналіз резервного копіювання даних: Оцінити ефективність системи
резервного копіювання та розробити план відновлення даних у разі аварії.
 Визначення потреб користувачів: Провести опитування серед
співробітників для визначення їх потреб у програмному забезпеченні та
функціоналі.
 Розрахунок економічної ефективності: Оцінити економічну ефективність
впровадження нових технологій та автоматизації процесів.
3.2 Аудит інформаційного захисту
Аудит інформаційної безпеки є важливим етапом для оцінки ефективності
заходів, що забезпечують захист інформації в закладі охорони здоров'я.[14]
Основною метою аудиту є:
Оцінка відповідності політик і процедур інформаційної безпеки з вимогами
законодавства та стандартів.
Арк.
ЧДТУ.24.23386.007 51
Змн. Арк. № докум. Підпис Дата
Виявлення вразливостей у системах інформаційної безпеки.
Розробка рекомендацій для покращення інформаційної безпеки.
Аудит проводився за наступними етапами:
1. Оцінка документації:
Аналіз політик і процедур інформаційної безпеки, щоб визначити їх
відповідність сучасним вимогам.
Оцінка відповідності документів вимогам законодавства, включаючи
регуляторні акти та стандарти.
2. Оцінка технічних засобів:
Перевірка конфігурації системи управління доступом для виявлення
потенційних слабких місць.
Перевірка програмного забезпечення, включаючи наявність актуальних
оновлень.
Оцінка ефективності антивірусного захисту, включаючи наявність
актуальних оновлень.
Аналіз мережевої архітектури та засобів моніторингу для виявлення
можливих ризиків.
3. Оцінка фізичної безпеки:
Перевірка доступу до приміщень з чутливою інформацією, щоб запобігти
несанкціонованому доступу.
Оцінка засобів контролю доступу (відеоспостереження, карткові системи)
для забезпечення фізичної безпеки.
4. Оцінка навчання та обізнаності персоналу:
Аналіз програм навчання з інформаційної безпеки для працівників.
Опитування працівників щодо обізнаності про політики безпеки та їх
реалізацію на практиці.
5. Виявлення інцидентів:
Аналіз журналів подій та інцидентів безпеки для виявлення потенційних
загроз.
Арк.
ЧДТУ.24.23386.007 52
Змн. Арк. № докум. Підпис Дата
Оцінка реакції на інциденти та їх документування для покращення
управління ризиками.
Звіт про аудит інформаційної безпеки
Заклад охорони здоров'я: КНП “Черкаська міська інфекційна лікарня”
Дата проведення аудиту: 01.10.2024
Аудитор: Кудрявцев Олексій В’ячеславович, заступник директора з
технічних питань
Мета
Мета звіту про аудит інформаційної безпеки полягає в наступному:
Оцінка поточного стану інформаційної безпеки: Визначити рівень
захищеності інформаційних систем, даних та інфраструктури закладу охорони
здоров'я від можливих загроз і вразливостей.
Виявлення недоліків та ризиків: Ідентифікувати слабкі місця в політиках,
процедурах, технічних засобах і фізичній безпеці, що можуть призвести до витоку
або втрати даних.
Розробка рекомендацій: Надати конкретні пропозиції щодо покращення
інформаційної безпеки, включаючи оновлення політик, впровадження нових
технологій та проведення навчань для персоналу.
Забезпечення відповідності законодавству: Перевірити відповідність
існуючих практик і політик вимогам національного законодавства та
міжнародних стандартів у сфері інформаційної безпеки.
Висновки
Відповідність політик:
Політики інформаційної безпеки не відповідають вимогам законодавства і
потребують розробки та впровадження нових документів, які б враховували
сучасні загрози та виклики у сфері інформаційної безпеки.
Технічні засоби:
Виявлено відсутність управління доступом, що може призвести до
несанкціонованого доступу до чутливої інформації.
Арк.
ЧДТУ.24.23386.007 53
Змн. Арк. № докум. Підпис Дата
Зафіксовано відсутність антивірусного захисту, що може серйозно
загрожувати стабільності роботи системи.
Локальна мережа частково контрольована; не всі мережеві пристрої
(маршрутизатори, комутатори) мають встановлені останні оновлення програмного
забезпечення. Відсутня сегментація мережі, що ускладнює виявлення та ізоляцію
інцидентів.
Відсутність засобів моніторингу зменшує можливість виявлення
порушників та своєчасного реагування на інциденти.
Виявлено неліцензоване програмне забезпечення, а також програмне
забезпечення, що оновлюється не вчасно, що може загрожувати стабільності
роботи.
Виявлено, що права доступу багатьох користувачів не відповідають їхнім
посадовим обов'язкам. .
Виявлено, Слабкі паролі, відсутність багатофакторної аутентифікації.
Виявлено, Недостатній контроль доступу до адміністративних функцій.
Виявлено, недостатній рівень шифрування даних.
Фізична безпека:
Необхідно посилити контроль доступу до серверних приміщень та
приміщень з комутаційним обладнанням, оскільки це критично важливі елементи
інфраструктури лікарні.
Обізнаність персоналу:
Більшість працівників пройшла навчання з інформаційної безпеки протягом
останнього року, але загальний рівень обізнаності все ще залишається
недостатнім. Це свідчить про необхідність проведення додаткових навчань у
напрямку інформаційного захисту.
Виявлення інцидентів:
Інциденти не виявлені, відсутня документація для ведення інцидентів.
Рекомендації
1. Оновлення політик і процедур:
Арк.
ЧДТУ.24.23386.007 54
Змн. Арк. № докум. Підпис Дата
Розробити нові політики інформаційної безпеки відповідно до вимог
законодавства та сучасних загроз.
Забезпечити регулярний перегляд і актуалізацію документів.
2. Покращення технічних засобів:
Впровадити систему управління доступом для контролю доступу до
чутливої інформації.
Забезпечити встановлення актуальних оновлень для всього програмного
забезпечення та мережевих пристроїв.
Впровадити антивірусний захист на всіх робочих станціях та серверах.
Розробити політику управління паролями та провести аудит прав доступу
користувачів.
Провести реконструкцію локальної мережі
3. Посилення фізичної безпеки:
Встановити додаткові засоби контролю доступу (відеоспостереження,
карткові системи) до критично важливих приміщень.
Провести оцінку ризиків фізичної безпеки та розробити план дій у разі
надзвичайних ситуацій.
4. Підвищення обізнаності персоналу:
Організувати регулярні тренінги з інформаційної безпеки для всіх
працівників.
Розробити програми підвищення обізнаності про загрози інформаційної
безпеки та методи їх уникнення.
5. Вдосконалення виявлення та реагування на інциденти:
Впровадити систему моніторингу для виявлення інцидентів безпеки в
режимі реального часу.
Створити документацію для ведення інцидентів, включаючи процедури
реагування на них.
Арк.
ЧДТУ.24.23386.007 55
Змн. Арк. № докум. Підпис Дата
3.3 Впровадження політики інформаційного захисту
Сучасна система охорони здоров'я стикається з численними викликами,
пов'язаними з обробкою та зберіганням медичної інформації. У зв'язку з
розвитком інформаційних технологій, зростає потреба у впровадженні
ефективних політик інформаційного захисту, які забезпечують безпеку даних
пацієнтів, а також дотримання вимог законодавства.
У зв’язку недоліками які були виявленні під час аудиту інформаційного
захисту КНП “Черкаська міська інфекційна лікарня” впровадження політики
інформаційного захисту є необхідним кроком для забезпечення безпеки медичної
інформації.
Для усунення проблем інформаційного захисту розроблений календарний
план впровадження інформаційного захисту в КНП "Черкаська міська інфекційна
лікарня. Термін впровадження - 1 рік.
Впровадження цього плану дозволить КНП "Черкаська міська інфекційна
лікарня" забезпечити належний рівень інформаційної безпеки, що є критично
важливим для захисту інформації та персональних даних. Календарний план
впровадження політики інформаційного захисту представлений в таблиці 3.1.
Таблиця 3.1. Календарний план впровадження політики
інформаційного захисту в КНП “Черкаська міська інфекційна лікарня”
№ Опис Термін Стан
виконання виконання
1 Аналіз поточної ситуації
1.1 Оцінка існуючих систем: Провести 10.2024 Виконано
аудит наявних інформаційних систем
та процесів обробки даних.
1.2 Визначення ризиків: Ідентифікувати 11.2024 Виконано
потенційні загрози та вразливості,
пов’язані з інформаційною безпекою.
2 Політика інформаційного захисту
2.1 Створення документів: Розробити 12.2024 Виконано
політику інформаційного захисту
Арк.
ЧДТУ.24.23386.007 56
Змн. Арк. № докум. Підпис Дата
Продовження таблиці 3.1.
2.2 Затвердження політики 12.2024 В процесі
інформаційного захисту (додаток)
3 Організація навчання персоналу
3.1 Навчальні програми: Розробити та 2025 В процесі
впровадити програми навчання для
всіх співробітників лікарні щодо основ
інформаційної безпеки.
3.2 Регулярні тренінги: Запланувати 2025 В процесі
регулярні тренінги та семінари для
підвищення обізнаності про загрози та
методи захисту.
4 Технічні заходи захисту
4.1 Впровадження антивірусного ПЗ: 2025 В процесі
Інсталювати сучасне антивірусне
програмне забезпечення на всіх
комп'ютерах лікарні.
4.2 Системи резервного копіювання: 2025 В процесі
Налаштувати автоматизовані системи
резервного копіювання даних.
4.3 Контроль доступу: Впровадити 2025 В
систему контролю доступу до процесі
інформаційних систем, включаючи
багатофакторну аутентифікацію.
4.4 Оновлення локальної мережі 2024 2025 В процесі
4.5 Скласти перелік не ліцензійного 12.2024 В процесі
програмного забезпечення
4.6 Замінити не ліцензійне програмне 2025 В процесі
забезпечення на ліцензійне програмне
забезпечення на всіх комп’ютерах в
лікарні
5. Моніторинг та управління безпекою
5.1 Впровадження систем моніторингу: 2025 В процесі
Встановити системи моніторингу для
виявлення несанкціонованого доступу
та інших інцидентів безпеки.
5.2 Регулярні аудити: Запланувати 12.2024 В процесі
регулярні внутрішні аудити для оцінки
ефективності політики інформаційного
захисту.
Арк.
ЧДТУ.24.23386.007 57
Змн. Арк. № докум. Підпис Дата
Продовження таблиці 3.1.
6 Оцінка та вдосконалення
6.1 Моніторинг ефективності: Визначити 2024 2025 В процесі
ключові показники ефективності KPI
(Key Performance Indicators) для оцінки
реалізації політики інформаційного
захисту.
6.2 Оновлення політики: Регулярно 2025 В процесі
переглядати і оновлювати політику
інформаційного захисту відповідно до
змін у законодавстві та технологічному
середовищі.
7 Фізичний захист
7.1 Посилити контроль доступу до 01.2025 В процесі
серверних приміщень
7.2 Посилити контроль доступу до 01.2025 В процесі
приміщень з комутаційним
обладнанням
8 Впровадження політики інформаційного захисту
8.1 обов'язки персоналу 01.2025 В процесі
8.2 управління доступом 01.2025 В процесі
8.3 підключення до мережі 02.2025 В процесі
8.4 антивірусний захист 02.2025 В процесі
8.5 криптографічний захист 03.2025 В процесі
8.6 розділ 7 фізична безпека 03.2025 В процесі
8.7 дистанційна робота 04.2025 В процесі
8.8 політика чистого столу/екрану 04.2025 В процесі
8.9 утилізація зовнішніх носіїв та
комп’ютерів 04.2025 В процесі
8.10 Управління змінами 05.2025 В процесі
8.11 Моніторінг стану інформаційної
безпеки 05.2025 В процесі
8.12 Аудит інформаційної безпеки 06.2025 В процесі
8.13 Цілісність даних пацієнтів 07.2025 В процесі
8.14 Плани резервного копіювання та В процесі
аварійного відновлення 07.2025
8.15 Обізнаність та навчання з питань В процесі
безпеки 08.2025
8.16 управління ризиками 08.2025 В процесі
Арк.
ЧДТУ.24.23386.007 58
Змн. Арк. № докум. Підпис Дата
Продовження таблиці 3.1.
8.17 Відповідальність за порушення В процесі
Порушення безпеки та дисциплінарне 09.2025
стягнення
8.18 Перевірка кандидатів 09.2025 В процесі
8.19 Реагування на інцидент 10.2025 В процесі
План розділяється на два етапи - підготовчий етап п.1-8, впровадження п. 9
1.1 Оцінка існуючих систем. Провести аудит наявних інформаційних
систем та процесів обробки даних з метою виявлення їхніх сильних і слабких
сторін. Цей етап передбачає детальний аналіз функціонування існуючих систем,
вивчення документації, а також роботу з співробітниками.
1.2 Визначення ризиків. Ідентифікувати потенційні загрози та вразливості,
пов’язані з інформаційною безпекою. Це включає в себе аналіз зовнішніх і
внутрішніх загроз, а також оцінку вразливостей в існуючих системах.
2.1 Створення документів. Розробити політику інформаційного захисту,
яка визначає основні принципи, правила та процедури для забезпечення безпеки
інформації в лікарні. Цей документ стане основою для всіх подальших заходів у
сфері інформаційної безпеки.
2.2 Затвердження політики інформаційного захисту (додаток):
Затвердити розроблену політику інформаційного захисту на рівні
керівництва лікарні. Це забезпечить її легітимність і обов'язковість для всіх
співробітників.
3.1 Навчальні програми.Розробити та впровадити програми навчання для
всіх співробітників лікарні щодо основ інформаційної безпеки. Цей етап
передбачає створення навчальних матеріалів, які охоплюють ключові аспекти
інформаційної безпеки, такі як захист персональних даних, виявлення
фішингових атак та безпечне використання інформаційних систем. Завершення
цього етапу заплановано на січень 2025 року. Статус: В процесі.
Арк.
ЧДТУ.24.23386.007 59
Змн. Арк. № докум. Підпис Дата
3.2 Регулярні тренінги. Запланувати регулярні тренінги та семінари для
підвищення обізнаності про загрози та методи захисту. Це включає в себе
організацію щоквартальних заходів, на яких співробітники зможуть отримати
актуальну інформацію про нові загрози, а також практичні рекомендації щодо їх
запобігання. Завершення цього етапу заплановано на березень 2025 року. Статус:
В процесі.
4.1 Впровадження антивірусного ПЗ.Інсталювати сучасне антивірусне
програмне забезпечення на всіх комп'ютерах лікарні. Це дозволить забезпечити
захист від шкідливих програм та вірусів, що можуть загрожувати інформаційній
безпеці установи.
4.2 Системи резервного копіювання.Налаштувати автоматизовані системи
резервного копіювання даних. Це включає в себе розробку політик резервного
копіювання, вибір відповідного програмного забезпечення та тестування процесів
відновлення даних.
4.3 Контроль доступу.Впровадити систему контролю доступу до
інформаційних систем, включаючи багатофакторну аутентифікацію. Це дозволить
обмежити доступ до чутливих даних лише для авторизованих користувачів,
підвищуючи рівень захисту інформації.
4.4 Оновлення локальної мережі. Провести оновлення локальної мережі
лікарні для підвищення її продуктивності та безпеки. Це включає в себе
модернізацію обладнання, налаштування мережевих протоколів та забезпечення
захисту від зовнішніх загроз.
4.5 Скласти перелік не ліцензійного програмного забезпечення.
Провести інвентаризацію всього програмного забезпечення, що
використовується в лікарні, та скласти перелік не ліцензійного програмного
забезпечення. Це дозволить виявити ризики, пов’язані з використанням
нелегального ПЗ, і підготуватися до його заміни.
4.6 Замінити не ліцензійне програмне забезпечення на ліцензійне.
Арк.
ЧДТУ.24.23386.007 60
Змн. Арк. № докум. Підпис Дата
Здійснити заміну не ліцензійного програмного забезпечення на ліцензійне
програмне забезпечення на всіх комп’ютерах в лікарні. Це дозволить знизити
юридичні ризики та покращити загальний рівень безпеки системи.
5.1 Впровадження систем моніторингу. Встановити системи моніторингу
для виявлення несанкціонованого доступу та інших інцидентів безпеки. Це
включає в себе налаштування програмного забезпечення для моніторингу
мережевого трафіку та активності користувачів, що дозволить оперативно
реагувати на загрози.
5.2 Регулярні аудити. Запланувати регулярні внутрішні аудити для оцінки
ефективності політики інформаційного захисту. Це дозволить виявити недоліки в
реалізації політики та внести необхідні корективи.
6.1 Моніторинг ефективності. Визначити ключові показники ефективності
KPI (Key Performance Indicators) для оцінки реалізації політики інформаційного
захисту. Це дозволить об'єктивно оцінити результати впроваджених заходів і
виявити області, що потребують покращення.
6.2 Оновлення політики. Регулярно переглядати і оновлювати політику
інформаційного захисту відповідно до змін у законодавстві та технологічному
середовищі. Це забезпечить актуальність політики та відповідність новим
вимогам безпеки.
7.1 Посилити контроль доступу до серверних приміщень. Впровадити
заходи для посилення контролю доступу до критично важливих приміщень, що
містять сервери обладнання, з метою запобігання несанкціонованому доступу.
8.2 Посилити контроль доступу до приміщень з комутаційним
обладнанням. Забезпечити додатковий контроль доступу до приміщень з
комутаційним обладнанням, включаючи встановлення систем відеоспостереження
та карткових систем доступу.
9.1 Обов'язки персоналу. Персонал є першою лінією захисту в системі
управління інформаційною безпекою, і його обов'язки включають забезпечення
безпеки всіх даних, які можуть надходити у різних форматах. Для ідентифікації
Арк.
ЧДТУ.24.23386.007 61
Змн. Арк. № докум. Підпис Дата
співробітників впроваджуються ідентифікаційні беджі, які повинні бути на
видному місці. Це не лише підвищує рівень фізичної безпеки закладу, але й
захищає активи організації. Підрядники та представники третіх сторін отримують
беджі іншого кольору, що дозволяє легше ідентифікувати їх статус. Пацієнти та
інші відвідувачі не мають права на беджі та не можуть заходити в службові
приміщення або зони з обмеженим доступом.
Всі співробітники зобов'язані вживати заходів для забезпечення фізичної
безпеки активів закладу. У разі виявлення невстановленої особи в службових чи
обмежених зонах, співробітник повинен вжити необхідних заходів для виведення
цієї особи та повідомити про інцидент службу безпеки або охорону закладу. Всі
відвідувачі повинні проходити реєстрацію на стійці прийому та залишатися лише
в дозволених зонах.
9.2 Управління доступом. Політика управління доступом спрямована на
встановлення контролю доступу до інформації та пристроїв, а також на
забезпечення процедур, які гарантують надійний захист інформації. Особлива
увага приділяється захисту інформації з обмеженим доступом, зокрема
персональних даних, що є пріоритетним завданням.
9.3 Підключення до мережі В закладі доступ до інформаційних ресурсів
має бути авторизованим і автентифікованим через систему контролю доступу.
Забороняється здійснювати зовнішні виклики або комутацію на внутрішні номери
без проходження через цю систему. Усі системи, що дозволяють зовнішні
виклики, повинні мати додаткові заходи безпеки на рівні операційної системи та
додатків. Права доступу надаються за запитом керівника відділу та
затверджуються керівником закладу або особою, відповідальною за інформаційну
безпеку.
Для підключення до зовнішніх мереж необхідно отримати дозвіл від
керівника закладу або відповідального з інформаційної безпеки. Перелік
телекомунікаційного обладнання включає телефонні та факсимільні лінії,
Арк.
ЧДТУ.24.23386.007 62
Змн. Арк. № докум. Підпис Дата
гарнітуру, програмне забезпечення для маршрутизації викликів та інше, але цей
перелік може бути доповнений.
Забезпечення безпеки телекомунікаційних з’єднань є критично важливим
для захисту інформаційної безпеки закладу. Необхідно проводити аналіз ризиків
при підключенні до зовнішніх мереж і регулярно перевіряти ризики постійних
каналів з’єднання. Аналіз ризиків має враховувати тип доступу, цінність
інформації, заходи безпеки третьої сторони та наслідки для системи управління
безпекою закладу. Відповідальний за інформаційну безпеку повинен бути
залучений до проектування та затвердження каналів підключення, а також
укладення договорів з постачальниками телекомунікаційних послуг. Ці
положення сприяють забезпеченню належного рівня захисту інформації і
контролю доступу до інформаційних ресурсів закладу.
9.4 Антивірусний захист. Політика антивірусного захисту в закладах
охорони здоров'я визначає вимоги та процедури для забезпечення захисту
інформаційних ресурсів і цифрових активів. Основна мета полягає в мінімізації
негативних наслідків, що можуть виникнути внаслідок зловмисних дій через
шкідливе програмне забезпечення. Вимоги цієї політики є обов'язковими для
всього серверного обладнання та робочих станцій, а також для всього персоналу
закладів.
Основні цілі Політики антивірусного захисту включають підтримку
належного рівня інформаційної безпеки, дотримання вимог нормативно-правових
актів України та міжнародних стандартів, а також захист інформаційних активів
від порушень конфіденційності, цілісності та доступності. Завдання політики
полягають у визначенні принципів і вимог до антивірусного захисту, мінімізації
ризиків, попередженні вірусних атак і забезпеченні стабільної роботи закладу.
В закладах охорони здоров'я дозволяється використовувати лише
централізовано закуплене антивірусне програмне забезпечення від визначеного
виробника.
Арк.
ЧДТУ.24.23386.007 63
Змн. Арк. № докум. Підпис Дата
9.5 Криптографічний захист. Мета політики криптографічного захисту
полягає в забезпеченні належного та ефективного використання криптографії для
охорони конфіденційності, автентичності, цілісності та/або неспростовності
інформації. Особливу увагу приділено захисту інформації з обмеженим доступом,
зокрема персональних даних, що є пріоритетним завданням.
Криптографічний захист даних через шифрування є найдієвішим методом
забезпечення безпеки інформації в ЗОЗ. Завдяки шифруванню, дані, що
зберігаються або передаються, стають недоступними для осіб, які не мають
авторизованого доступу. Для розшифровки зашифрованої інформації необхідно
мати секретний ключ або пароль.
ЗОЗ застосовує такі засоби криптографічного захисту:
• кваліфікований електронний підпис;
• шифрування файлів та електронної пошти;
• захист портів мережевого обладнання;
• захист онлайн-ресурсів;
• програму-архіватор WinZip;
• протокол sFTP для передачі файлів;
• веб-інтерфейс з використанням захищених сокетів (SSL/TLS);
• використання SSH;
• шифрування носіїв і файлових систем;
• шифрування інформації з обмеженим доступом для хмарних сервісів.
Криптографічний захист інформації, що передається, обробляється та
зберігається в медичних інформаційних системах (МІС), забезпечується
постачальником МІС. ЗОЗ використовує засоби криптографічного захисту, надані
постачальником МІС, для роботи з медичної інформаційної системи. На
електронні документи та дані, які вносяться до МІС, накладається кваліфікований
електронний підпис автора документа відповідно до вимог, визначених порядком
роботи з медичної інформаційної системи.
Арк.
ЧДТУ.24.23386.007 64
Змн. Арк. № докум. Підпис Дата
9.6 Фізична безпека. Забезпечення фізичної безпеки персоналу в закладі
полягає у створенні безпечних умов на робочому місці та зберіганні активів.
Будівля має унікальні характеристики, включаючи правовий статус, територію,
під'їзди, охорону, вимоги до пожежної безпеки та захист цифрових активів.
Постійне вдосконалення системи фізичної безпеки є необхідним для підвищення
захисту активів і медичної інформації. Вхід до будівлі в неробочий час зачинений
і контролюється охоронною сигналізацією, а спроби несанкціонованого входу
негайно повідомляються охороні. Код безпеки для входу надається лише
конкретним працівникам і змінюється регулярно; при звільненні працівника код
обов'язково змінюється. Двері в зону прийому пацієнтів завжди зачинені в
неробочий час, а зона рецепції працює з 8:00 до 17:00. Невідомі особи повинні
бути видалені з службових приміщень персоналом. Цифрове обладнання в зоні
відвідувачів має бути зафіксоване замками, а вхід до серверного приміщення
заблокований кодовим замком, доступ мають лише обмежене коло осіб. Серверне
обладнання підлягає цілодобовому відеоспостереженню та автоматизованому
протипожежному захисту. Будівля обладнана датчиками руху та розбиття скла,
що сповіщають охорону про загрози, а також камерами відеоспостереження на
всіх входах і виходах, що працюють цілодобово. Протипожежний захист
відповідає вимогам ДСНС України, заклад також повинен мати систему
безперебійного живлення та дизель-генератор.
9.7 дистанційна робота. У закладі дозволяється та використовується
дистанційна робота персоналу за певних умов, визначених керівництвом. Вимоги
щодо організації дистанційної роботи поширюються на всіх працівників і
підрядників, які виконують свої обов'язки поза межами будівлі (комплексу
будівель) закладу.
Хоча дистанційна робота має свої переваги для працівників та організації в
цілому, вона також приносить нові виклики в сфері інформаційної безпеки.
Персонал, що працює віддалено, повинен бути захищений від загроз, пов'язаних із
Арк.
ЧДТУ.24.23386.007 65
Змн. Арк. № докум. Підпис Дата
шкідливим програмним забезпеченням, а також від можливих витоків даних з
пристроїв, що знаходяться поза межами безпечного периметру закладу.
9.8 Політика чистого столу/екрану. Одним із заходів контролю
інформаційної безпеки є впровадження політики чистого столу та чистого екрану,
яка допомагає зменшити ризики несанкціонованого доступу, а також втрати і
пошкодження інформації під час робочого часу та після його завершення. Ця
політика регламентує способи забезпечення захисту конфіденційної інформації,
як у цифровому, так і в паперовому форматах, а також активів (таких як робочі
станції, ноутбуки, стаціонарні телефони, смартфони, цифрове медичне
обладнання тощо), коли вони не використовуються, або коли працівники
залишають свої робочі місця на короткий час чи в кінці робочого дня.
Дотримання політики чистого столу та чистого екрану всіма працівниками
суттєво підвищить рівень захисту Назва ЗОЗ від витоку конфіденційної
інформації.
Основними цілями впровадження цієї політики в Назва ЗОЗ є:
• запобігання витоку та втраті конфіденційних даних закладу;
• дотримання правил кібергігієни та розвиток кіберкультури, що стосується
безпечного та відповідального поводження з конфіденційною інформацією та її
носіями;
• створення і підтримка позитивного іміджу закладу серед пацієнтів.
9.9 Утилізація зовнішніх носіїв та комп’ютерів. Утилізація зовнішніх
носіїв та комп’ютерного обладнання є важливими аспектами забезпечення
інформаційної безпеки. Всі зовнішні носії, що використовувалися персоналом,
вважаються конфіденційними. Застарілі або зіпсовані носії повинні утилізуватися
так, щоб уникнути втрати даних та порушення конфіденційності. Персонал
зобов'язаний ідентифікувати такі носії та передавати їх для знищення
відповідальному за інформаційну безпеку, який організує їх утилізацію.
Арк.
ЧДТУ.24.23386.007 66
Змн. Арк. № докум. Підпис Дата
Комп’ютерне обладнання, яке підлягає утилізації, має пройти процедуру
видалення даних, затирання міток і повернення до заводських налаштувань.
Відповідальний за інформаційну безпеку контролює цю процедуру.
Старе комп'ютерне обладнання може бути інвентаризоване та зберігатися
для використання в якості запасних частин, для аварійної заміни, тестування
програмного забезпечення, резервного копіювання або для дистанційної роботи
персоналу.
9.10 Управління змінами. Для ефективного відстеження та управління
змінами в мережах, ІТ-системах і робочих станціях, включаючи встановлення
нового програмного забезпечення та усунення вразливостей у системах, що
містять конфіденційну та медичну інформацію, запроваджена процедура
управління змінами. ІТ-підрозділ або призначений працівник, який виконує
оновлення, встановлення чи переналаштування обладнання, зобов'язаний
ретельно фіксувати всі зміни у журналі управління змінами. Крім того, цей
працівник повинен створювати всі необхідні резервні копії програмного
забезпечення та даних перед впровадженням змін. Також важливо, щоб він був
ознайомлений з процесом повернення до попередніх налаштувань на випадок,
якщо зміна призведе до збоїв у роботі мережі чи системи.
В установі допускається використання лише ліцензійного та дозволеного
програмного забезпечення. Оновлення таких програм здійснюється відповідно до
рекомендацій їх розробників. Персонал зобов'язаний оперативно оновлювати
програмне забезпечення щойно стає доступною нова версія.
9.11 Моніторінг стану інформаційної безпеки. У закладі необхідно
запровадити механізми, які будуть фіксувати і контролювати стан інформаційних
та медичних систем, що містять конфіденційну та персональну інформацію.
Моніторинг інформаційної безпеки передбачає технологічні та процесуальні дії,
спрямовані на виявлення можливих порушень безпеки через відстеження
комп'ютерної та мережевої активності. Це включає фіксацію подій, пов'язаних зі
станом операційних систем, програмного забезпечення та діяльності користувачів.
Арк.
ЧДТУ.24.23386.007 67
Змн. Арк. № докум. Підпис Дата
В закладі здійснюється моніторинг користувачів для запобігання
технологічним збоєм і виявлення потенційних ризиків та вразливостей системи
безпеки. На основі виявлених проблем розробляються й впроваджуються
відповідні адміністративні, фізичні та технічні заходи для забезпечення
інформаційної безпеки відповідно до чинного законодавства у сфері кіберзахисту.
Процедура моніторингу включає кілька етапів. Усі працівники та
керівництво ознайомлені з політикою інформаційної безпеки та дотримуються її
під час виконання своїх обов’язків. ІТ-підрозділ або системний адміністратор
відповідають за моніторинг і обробку журналів подій на всіх комп'ютерних та
цифрових медичних системах, що обробляють конфіденційну інформацію.
Моніторинг охоплює ідентифікацію користувача, час і дату входу, а також обсяг і
характер доступних даних. Інформація про моніторинг зберігається на окремому
комп'ютері для зменшення ризику несанкціонованого доступу.
В закладі також використовуються мережеві та хост-системи виявлення
вторгнень. Відповідальний за інформаційну безпеку організовує їх встановлення,
обслуговування та оновлення.
9.12 Аудит інформаційної безпеки. В закладі необхідно щорічно проводит
аудит інформаційної безпеки, що включає перевірку облікових записів
користувачів, прав доступу до ІТ-систем, аналіз інцидентів безпеки та перегляд
журналів моніторингу. Аудит може виконуватись внутрішніми або зовнішніми
аудиторами з метою мінімізації порушень безпеки.
Процедура аудиту передбачає ознайомлення аудиторів з політикою
інформаційної безпеки, а також надання доступу до даних ІТ-підрозділом.
Відповідальний за інформаційну безпеку розробляє звіт про результати аудиту, в
якому зазначаються виявлені недоліки та рекомендації щодо їх усунення.
Аудит проводиться щорічно, але може бути позаплановим у разі підозри на
порушення. Аудитори перевіряють журнали подій на предмет несанкціонованого
доступу, невдалих спроб входу, інцидентів безпеки та прав доступу користувачів.
Арк.
ЧДТУ.24.23386.007 68
Змн. Арк. № докум. Підпис Дата
Всі важливі висновки відображаються у звіті, який передається відповідальному
за інформаційну безпеку для вжиття необхідних заходів.
9.13 Цілісність даних пацієнтів. Заклад реалізує та підтримує необхідні
організаційні і технологічні заходи для підтвердження, що медичні дані пацієнтів
та інша конфіденційна інформація не підлягають несанкціонованим змінам або
знищенню. Основна мета цих дій — забезпечення цілісності даних пацієнтів.
Заклад також впроваджує автоматизовані системи та програмне
забезпечення, в тому числі рішення на базі штучного інтелекту, для автоматичної
перевірки можливих людських помилок під час обробки даних пацієнтів.
Для виявлення вторгнень використовуються відповідні мережеві та хост-
системи. Відповідальний за інформаційну безпеку організовує їх установку,
контролює обслуговування та оновлення.
Цілісність даних пацієнтів у медичних інформаційних системах
забезпечується постачальниками цих систем. Для захисту цілісності даних під час
їх передачі персоналом закладу застосовується шифрування. Крім того,
шифрування використовується і для зберігання даних пацієнтів.
Заклад проводить перевірку на можливе дублювання даних у своїх
комп'ютерних системах і мережах, щоб уникнути проблем з інтеграцією даних
між різними системами.
Щоб уникнути збоїв ІТ-систем, які можуть загрожувати цілісності даних,
заклад перевіряє точність і функціональність своїх інформаційних систем перед їх
впровадженням. ІТ-системи та мережеве обладнання регулярно оновлюються
відповідно до випусків виробників, які містять виправлення помилок і
вдосконалення.
Також заклад встановлює та регулярно оновлює антивірусне програмне
забезпечення на всіх робочих станціях та серверах для своєчасного виявлення та
запобігання змінам або знищенню даних внаслідок дії шкідливого програмного
забезпечення.
Арк.
ЧДТУ.24.23386.007 69
Змн. Арк. № докум. Підпис Дата
9.14 Плани резервного копіювання та аварійного відновлення. В
закладі необхідно розробити та та впровадити план резервного копіювання даних,
що включає заходи для створення, зберігання та відновлення копій критично
важливих даних закладу. Резервні копії серверів створюються щодня, а
щотижневі та місячні копії зберігаються в зашифрованому вигляді в безпечному
середовищі. Всі резервні носії, які більше не використовуються, утилізуються
відповідно до встановленої процедури.
Відповідальний за ІБ також контролює зберігання та видалення резервних
копій, дотримуючись заходів контролю доступу. Щорічно проводиться
тестування процедур резервного копіювання для перевірки їх ефективності.
Крім того, необхідно розробити та регулярно оновлювати план аварійного
відновлення, який забезпечує відновлення даних та систем у разі надзвичайної
ситуації. План містить деталі щодо інвентаризації інформаційних активів,
паперові копії важливих документів, список групи реагування, процедури для
відновлення даних та контакти відповідальних осіб. Група реагування проводить
щорічні засідання для перегляду плану, планування навчань та внесення змін до
документів на основі аналізу ризиків інформаційної безпеки.
9.15 Обізнаність та навчання. Для забезпечення високого рівня
обізнаності щодо питань інформаційної безпеки весь персонал закладу,
включаючи керівництво, зобов'язаний регулярно проходити навчання. Навчання з
інформаційної безпеки проводиться кожні три місяці, а також може бути
організоване позапланово у разі необхідності. Відповідальний за інформаційну
безпеку організовує та проводить навчальні заходи. Він/вона здійснює первинний
інструктаж для нових співробітників, щорічні інструктажі для всього персоналу, а
також планові заняття, присвячені Політиці інформаційної безпеки та актуальним
загрозам. У процесі проведення навчань відповідальний за ІБ може залучати
інших працівників та сторонніх експертів, включаючи виробників ІТ-систем і
розробників програмного забезпечення. Участь у таких навчаннях є обов'язковою
Арк.
ЧДТУ.24.23386.007 70
Змн. Арк. № докум. Підпис Дата
для всіх співробітників. Відповідальний за інформаційну безпеку веде детальну
документацію про всі проведені навчальні заходи.
9.16 управління ризиками. Для забезпечення інформаційної безпеки
заклад здійснює детальну та всебічну оцінку можливих ризиків і вразливостей, що
стосуються конфіденційності, цілісності та доступності даних, які зберігаються,
обробляються та передаються через інформаційні системи та мережі. Результати
цього аналізу слугують основою для організації заходів щодо підтримки
належного рівня інформаційної безпеки. Заклад також проводить повторну оцінку
ризиків безпеки та аналіз ефективності заходів безпеки у випадках змін у штатній
структурі, впровадження нових процесів або розвитку технологій.
9.17 Відповідальність за порушення. Порушення безпеки та
дисциплінарне стягнення. Персонал та керівництво закладу повинні
забезпечувати захист конфіденційності, цілісності та доступності інформації,
дотримуючись політики інформаційної безпеки. Порушення можуть призвести до
відповідальності. Конфіденційна інформація включає медичні дані пацієнтів,
інформацію про медичний персонал, дані про заробітну плату та фінансові записи.
Дисциплінарні стягнення залежать від рівня порушення: усні або письмові догани,
пониження прав доступу, тимчасове відсторонення, або навіть розірвання
контракту. Важливо дотримуватись політики інформаційної безпеки для захисту
закладу та його співробітників.
9.18 Перевірка кандидатів. Заклад повинен запровадити довідкові
перевірки кандидатів перед їхнім працевлаштуванням. Перед проведенням такої
перевірки від кандидата отримується попередня згода. У разі відмови кандидата
від перевірки, він втрачає статус кандидата, і його розгляд кадровим відділом
припиняється.
9.19 Реагування на інцидент. Впровадження системи реагування на
інциденти в інформаційному захисті є критично важливим для організацій у
сучасному цифровому світі. Зростання кіберзагроз, таких як віруси, фішинг та
атаки нульового дня, вимагає швидкого реагування для мінімізації наслідків. Чим
Арк.
ЧДТУ.24.23386.007 71
Змн. Арк. № докум. Підпис Дата
швидше організація реагує на інцидент, тим менші ризики вона несе, що
підкреслює важливість чітких процедур і протоколів. Також, з огляду на суворі
вимоги до захисту персональних даних, необхідно мати можливість оперативно
реагувати на потенційні витоки інформації.
Аналіз інцидентів дозволяє виявити слабкі місця в системі безпеки та
запобігти повторенню подібних ситуацій у майбутньому. Це не лише підвищує
рівень захисту, але й зміцнює довіру клієнтів і партнерів до організації, адже
свідчить про серйозний підхід до безпеки інформації. Крім того, відповідність
міжнародним стандартам та нормативним актам, які вимагають наявності плану
реагування на інциденти, є ще однією важливою причиною для його
впровадження. Усі ці фактори підкреслюють необхідність створення ефективної
системи реагування на інциденти як складової загальної стратегії управління
ризиками в організації.
3.4 Висновки
Проведений аналіз поточної ситуації з інформаційною безпекою в КНП
"Черкаська міська інфекційна лікарня" виявив ряд недоліків, які потребують
негайного усунення. З метою забезпечення належного рівня захисту медичної
інформації та дотримання законодавчих вимог було розроблено детальний
календарний план впровадження політики інформаційної безпеки.
План охоплює широкий спектр заходів, спрямованих на підвищення рівня
захищеності інформаційних систем лікарні. Це включає в себе:
 Оцінку ризиків: Проведено детальний аналіз потенційних загроз та
вразливостей.
 Розробку політики: Створено політику інформаційної безпеки, яка визначає
основні принципи та правила захисту інформації.
Арк.
ЧДТУ.24.23386.007 72
Змн. Арк. № докум. Підпис Дата
 Навчання персоналу: Розроблені програми навчання для підвищення
обізнаності співробітників про загрози та методи захисту.
 Технічні заходи: Планується впровадження сучасних технологій захисту,
таких як антивірусне програмне забезпечення, системи резервного
копіювання та контроль доступу.
 Моніторинг та аудит: Передбачено регулярний моніторинг стану
інформаційної безпеки та проведення аудитів для оцінки ефективності
вжитих заходів.
Реалізація розробленого плану дозволить лікарні:
 Забезпечити конфіденційність медичної інформації: Мінімізувати ризики
несанкціонованого доступу до персональних даних пацієнтів.
 Підвищити цілісність даних: Запобігти втраті, пошкодженню або
несанкціонованій зміні інформації.
 Поліпшити доступність інформації: Гарантувати безперебійну роботу
інформаційних систем та швидкий доступ до необхідних даних.
 Зменшити фінансові ризики: Уникнути матеріальних збитків, пов'язаних з
інцидентами інформаційної безпеки.
 Забезпечити дотримання законодавства: Виконати вимоги чинного
законодавства щодо захисту персональних даних.
Впровадження політики інформаційної безпеки є тривалим процесом, який
вимагає залучення всіх співробітників лікарні. Регулярний моніторинг та оцінка
ефективності вжитих заходів дозволять своєчасно виявляти нові ризики та
вносити необхідні корективи в план.
Реалізація розробленого плану дозволить КНП "Черкаська міська
інфекційна лікарня" підвищити рівень інформаційної безпеки, забезпечити захист
конфіденційних даних пацієнтів та дотриматися вимог чинного законодавства.
Арк.
ЧДТУ.24.23386.007 73
Змн. Арк. № докум. Підпис Дата
ВИСНОВКИ
Проведено дослідження кіберзагроз у закладах охорони здоров’я та
розробка моделей політик інформаційної безпеки дозволили зробити наступні
висновки:
Актуальність проблеми: Кіберзагрози становлять серйозну загрозу для
безперебійної роботи закладів охорони здоров’я, конфіденційності персональних
даних пацієнтів та якості надання медичних послуг. Специфіка діяльності
закладів охорони здоров’я, пов’язана з обробкою великих обсягів конфіденційної
інформації, робить їх привабливою мішенню для кіберзлочинців.
Комплексність підходу: Для ефективного захисту від кіберзагроз
необхідно застосовувати комплексний підхід, який включає як технічні засоби
захисту (антивіруси, системи виявлення вторгнень), так і організаційні заходи
(розробку політик, навчання персоналу).
Роль людського фактора: Людський фактор залишається одним з
основних джерел вразливостей в системах інформаційної безпеки. Тому важливо
приділяти особливу увагу навчанню персоналу та підвищенню обізнаності про
кіберзагрози.
Необхідність постійного моніторингу та адаптації: Кіберзагрози постійно
еволюціонують, тому системи захисту повинні постійно оновлюватися та
адаптуватися до нових умов.
Результати дослідження:
 Аналіз кіберзагроз: Було проведено детальний аналіз типових кіберзагроз
для закладів охорони здоров’я, визначено їхні особливості та наслідки.
 Розробка шаблонів політик: Створені шаблони політик інформаційної
безпеки, які охоплюють всі основні аспекти захисту інформації.
 Впровадження системи інформаційної безпеки: Розроблена модель
впровадження системи інформаційної безпеки, яка включає аудит, розробку
політик, навчання персоналу та технічну реалізацію.
Арк.
ЧДТУ.24.23386.007 74
Змн. Арк. № докум. Підпис Дата
Практична значимість полягає в тому що результати дослідження можуть
бути використані для:
 Розробки ефективних систем захисту інформації в закладах охорони
здоров’я.
 Створення нормативно-правової бази в галузі кібербезпеки в охороні
здоров’я.
 Підвищення обізнаності про кіберзагрози серед медичних працівників.
 Співпраці з правоохоронними органами та іншими зацікавленими
сторонами для боротьби з кіберзлочинністю.
Перспективи подальших досліджень:
 Дослідження специфічних кіберзагроз для різних типів закладів охорони
здоров’я.
 Розробка методів оцінки ефективності систем інформаційної безпеки.
 Вивчення впливу штучного інтелекту на кібербезпеку в охороні здоров’я.
Висновки за розділами
 Розділ 1: Докладний аналіз кіберзагроз дозволив визначити найбільш
актуальні загрози для закладів охорони здоров’я та розробити рекомендації
щодо їх нейтралізації.
 Розділ 2: Розроблені шаблони політик забезпечують основу для створення
ефективної системи інформаційної безпеки в закладах охорони здоров’я.
 Розділ 3: Описаний процес впровадження системи інформаційної безпеки,
який може бути використаний як практичне керівництво для медичних
закладів.
Проведене дослідження підтверджує необхідність постійного
вдосконалення систем інформаційної безпеки в закладах охорони здоров’я.
Розроблені в рамках дослідження матеріали можуть бути використані для
підвищення рівня кібербезпеки в медичній галузі та захисту конфіденційності
персональних даних пацієнтів.
Арк.
ЧДТУ.24.23386.007 75
Змн. Арк. № докум. Підпис Дата
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Закон України «Про основні засади забезпечення кібербезпеки України» від
5 жовтня 2017 р. № 2163-VIII. [Електронний ресурс]. – Режим доступу:
https://zakon.rada.gov.ua/laws/show/2163-19
2. Закон України «Про захист інформації в інформаційно-телекомунікаційних
системах» від 5 липня 1994 р. № 80/94-ВР. [Електронний ресурс]. – Режим
доступу: https://zakon.rada.gov.ua/laws/show/80/94-вр
3. ISO/IEC 27001:2013. Інформаційні технології – Методи захисту – Системи
управління інформаційною безпекою. Вимоги. – [Стандарт].
4. Постанова Кабінету Міністрів України №518 від 19 червня 2019 року «Про
затвердження Загальних вимог до кіберзахисту об'єктів критичної
інфраструктури». [Електронний ресурс]. – Режим доступу:
https://zakon.rada.gov.ua/laws/show/518-2019-п
5. ISO/IEC 27002:2013. Звід практик для заходів інформаційної безпеки. –
[Стандарт].
6. ISO/IEC 27005:2018. Інформаційні технології – Методи захисту –
Управління ризиками інформаційної безпеки. – [Стандарт].
7. NIST SP 800-53. Security and Privacy Controls for Federal Information Systems
and Organizations. – Gaithersburg: National Institute of Standards and Technology,
2021. – 450 с.
8. NIST SP 800-171. Protecting Controlled Unclassified Information in Nonfederal
Systems and Organizations. – Gaithersburg: National Institute of Standards and
Technology, 2022. – 390 с.
9. ENISA Threat Landscape Report 2022: The Year in Review. – European Union
Agency for Cybersecurity, 2022. – 112 с.
10. IBM. Cost of a Data Breach Report 2023. [Електронний ресурс]. – Режим
доступу: https://www.ibm.com/security/data-breach
Арк.
ЧДТУ.24.23386.007 76
Змн. Арк. № докум. Підпис Дата
11. Symantec Internet Security Threat Report 2022. [Електронний ресурс]. –
Режим доступу: https://symantec.com/reports/2022
12. Trend Micro Annual Cybersecurity Report 2023. – [Звіт]. – 108 с.
13. HIPAA – Health Insurance Portability and Accountability Act. [Електронний
ресурс]. – Режим доступу: https://www.hhs.gov/hipaa/
14. CIS Controls v8. Top Cybersecurity Controls. – Center for Internet Security,
2022. – 76 с.
15. OWASP Top 10. The Ten Most Critical Web Application Security Risks.
[Електронний ресурс]. – Режим доступу: https://owasp.org/www-project-top-ten/
16. ISO 27035:2016. Інформаційні технології – Методи захисту – Управління
інцидентами інформаційної безпеки.
17. Криптографічний захист даних у медицині: методи та практики / ред.
Іваненко С.М. – Київ: Техніка, 2021. – 210 с.
18. ENISA Report on Medical Cybersecurity Threats. – European Union Agency for
Cybersecurity, 2021. – 85 с.
19. Закон України «Про електронні документи та електронний документообіг»
від 22 травня 2003 р. № 851-IV. [Електронний ресурс]. – Режим доступу:
https://zakon.rada.gov.ua/laws/show/851-15
20. Symantec Internet Security Threat Report. [Електронний ресурс]. – Режим
доступу: https://www.symantec.com
Арк.
ЧДТУ.24.23386.007 77
Змн. Арк. № докум. Підпис Дата