Що означає для медзакладів використання КЕП при роботі з МІС
03 червня 2021
Нещодавно Державне підприємство «Електронне здоров'я» повідомило, що у зв'язку з визнанням центральної бази даних електронної системи охорони здоров'я (e-Health) об'єктом критичної інфраструктури сектору охорони здоров'я, медичні інформаційні системи (МІС) мають забезпечити захищену передачу даних користувачів до центральної бази даних ЕСОЗ з використанням кваліфікованого електронного підпису на захищеному носії.

Нагадаємо, 7 листопада 2018 року набув чинності оновлений Закон «Про електронні довірчі послуги» від 5 жовтня 2017 року № 2155-VIII, який, зокрема, запровадив поняття «Кваліфікований електронний підпис» (КЕП). Це більш захищений варіант ключа.
Відповідно до Постанови Кабінету Міністрів «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» від 3 березня 2020 року №193, удосконалені електронні підписи чи печатки можуть використовуватися користувачами електронних довірчих послуг для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і їх представників у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів (КЕП) чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри.

Однак, є важливий нюанс. Експериментальний проект реалізується до дня набрання чинності змін до Закону «Про електронні довірчі послуги» щодо врегулювання використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, але не пізніше ніж до 31 грудня 2021 року, крім використання кваліфікованих електронних підписів чи печаток на об'єктах критичної інформаційної інфраструктури.

І що ж ми маємо у сфері охорони здоров'я? Відповідно до Акту категоризації об'єкта критичної інфраструктури, затвердженого Національною службою здоров'я України від 30 квітня 2021 року, центральна база даних електронної системи охорони здоров'я та інфраструктура Національної служби здоров'я України якраз і визначені як об'єкти критичної інфраструктури сектору охорони здоров'я.

Отже, державне підприємство «Електронне здоров'я», як Адміністратор центральної бази даних ЕСОЗ зобов'язане обмежити використання кваліфікованого електронного підпису, який отримано на незахищеному носії (звичайна флешка або збережений файл КЕПу на комп'ютері), для підтвердження дій у електронній системі охорони здоров'я.

В свою чергу, користувачі, що підпадають під зазначені вище категорії, при діях в електронній системі мають використовувати кваліфікований електронний підпис, який має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.

Тобто, мова йде про КЕП, які зберігаються на захищеному носії: токені чи у хмарі. Токени та хмарні сховища не підлягають копіюванню. Токен потрібно під'єднати до комп'ютера та зчитати. До ключа ж у хмарному сховищі у власника є доступ з будь-якого пристрою з виходом в інтернет.

Особливості сектору охорони здоров'я

Що мають забезпечити МІС

Також потрібно розуміти, що всі медичні інформаційні системи (МІС) повинні реалізувати відповідні зміни щодо визначення, з якого носія даних виконується підпис даних в МІС та ЦБД. Дана ознака «isQSCD» зазначена у відкритому сертифікаті КЕП, яким користувач підписує дані в МІС та визначає, що сертифікат формувався для апаратного токену (вноситься АЦСК при формуванні сертифікату).

Наразі перелік рішень, що відповідають вимогам з технічного захисту та отримали експертний висновок за результатами державної експертизи у галузі криптографічного захисту інформації можна отримати з офіційного сайту Держспецзв'язку та на сайті Центрального засвідчувального органу Міністерства цифрової трансформації України.

Також, враховуючи кількість запитів керівників закладів охорони здоров'я до ДП «Електронне здоров'я» щодо можливості роботи в МІС з усіма типами електронних ключів, які відповідають вимогам чинного законодавства, розробники інформаційних систем повинні забезпечити технічну можливість використання усіх вищезгаданих типів кваліфікованих електронних підписів в МІС, що мають підключення до центральної бази даних eHealth. Це дозволить користувачам обрати потрібний сервіс серед більшого переліку надавачів послуг та забезпечить надійну роботу в ЕСОЗ.
Читайте більше статей про телемедицину в нашому блозі на сайті Medinet
Читайте більше статей про телемедицину в нашому блозі на сайті Medinet
Зацікавились нашим проектом чи партнерством?
© IT4Medicine 2015-2021
Служба підтримки:
Пн-Пт: 8:00 — 18:00
Контакти:
м. Київ, вул. Протасів Яр 2Д, офіс 5
info@it4medicine.com.ua