Metodický pokyn poskytovatelům zdravotních služeb k problematice kybernetické bezpečnosti
Pořadí revize Provedené dne Zpracoval Schválil
Verze 1.0 Tomáš Bezouška, CISA,Ing. Jiří Borej, CGEIT
kolektiv autorů
Ing. Martin Zeman
Sledování dokumentu
RozdělovníkJMÉNO ORGANIZACE PŘEDÁNO (dne) Č. VÝTISKU
Sekce NE, NH, NL, NM, NAM, NP, NZ,TIS, BKŘ, KAN, OIA
MZ ČR 2.8.2017
ÚZIS ÚZIS
SÚKL SÚKL
Zveřejněno www.nsez.cz 14.9.2017
Archiv
Historie verzí dokumentuVerze Vypracoval Předmět Datum1.0 MZ ČR / INF Dokument k připomínkám 2.8.20171.1 MZ ČR / INF Dokument po zapracování připomínek 23.8.2017
Dne 5. září 2017 schváleno ministrem zdravotnictví
Ministerstvo zdravotnictví ČR 2/23
ObsahObsah..............................................................................................................................3Seznam zkratek a pojmů.................................................................................................4
1 Úvod k metodice.....................................................................................................5
2 Základní vysvětlení problematiky kybernetické bezpečnosti.............................62.1 Legislativní ukotvení.................................................................................................62.2 Oblasti působnosti....................................................................................................6
2.2.1 Provozovatel základní služby..........................................................................62.2.2 Povinnosti provozovatele základní služby.......................................................82.2.3 Ostatní subjekty...............................................................................................8
2.3 Problematika bezpečnosti informací.........................................................................92.3.1 Základní charakteristika bezpečnosti informací..............................................92.3.2 Cíle a zásady bezpečnosti informací...............................................................92.3.3 Bezpečnostní opatření...................................................................................10
3 Postup při zajišťování kybernetické bezpečnosti.............................................123.1 Stanovení rolí a odpovědností................................................................................123.2 Identifikace a kategorizace aktiv.............................................................................13
3.2.1 Klasifikace aktiv dle ZKB...............................................................................143.3 Analýza a řízení rizik...............................................................................................153.4 Formulace bezpečnostní politiky............................................................................153.5 Zpracování řídící dokumentace informační bezpečnosti........................................163.6 Zavádění opatření do praxe....................................................................................16
3.6.1 Postup implementace SŘBI a zavádění opatření do praxe...........................173.6.2 Vzdělávání a rozvoj kompetencí....................................................................17
4 Financování problematiky prostřednictvím ESF...............................................184.1 Text výzvy a související dokumentace...................................................................184.2 Základní parametry výzvy.......................................................................................18
4.2.1 Termíny.........................................................................................................184.2.2 Finanční parametry........................................................................................184.2.3 Podporované aktivity.....................................................................................194.2.4 Povinné přílohy žádosti.................................................................................194.2.5 Struktura studie proveditelnosti.....................................................................204.2.6 Souhlasné Stanovisko hlavního architekta eGovernmentu...........................21
4.3 Podpora v rámci přípravy žádostí...........................................................................21
5 Ochrana osobních údajů v kontextu obecného nařízení..................................22
6 Vzorové dokumenty (politiky, strategie, metodiky)...........................................23
Ministerstvo zdravotnictví ČR 3/23
Seznam zkratek a pojmů
Zkratka VýznamCRR Centrum pro regionální rozvoj České republiky
ČNR Česká národní rada
ČR Česká republika
EU Evropská unie
ICT Informační a komunikační technologie
ISMS Information security management system (systém řízení informační bezpečnosti)
ISO Mezinárodní standardizační organizaceKB Kybernetická bezpečnost
MZ ČR Ministerstvo zdravotnictví České republiky
NCKB Národní centrum kybernetické bezpečnosti
Obecné nařízení o ochraně osobních údajů
nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)
OHA Odbor hlavního architekta eGovernmentu Ministerstva vnitra
Sb. Sbírka zákonů České republiky
SŘBI systém řízení bezpečnosti informací
VIS Významný informační systémVKB Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti
ZKB Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
Ministerstvo zdravotnictví ČR 4/23
1 Úvod k metodice
Bezpečnost informací je v oblasti zdravotnictví zejména s ohledem na velké množství a četnost zpracování citlivých osobních údajů a dalších citlivých dat jedním ze zásadních témat, jejichž význam s postupující elektronizací zdravotnictví dále poroste.
Kybernetická bezpečnost představuje specifickou oblast bezpečnosti informací, zaměřenou na ochranu informací uchovávaných a zpracovávaných v digitální podobě. Právě elektronizace totiž přináší nové výzvy, rizika a problémy, které je v souladu s oprávněným zájmem ochránit data a informace organizací i jednotlivců nutné řešit a které vyžadují systematické řešení jak v rovině technické, tak personální, procesní, fyzické a dalších.
V oblasti kybernetické bezpečnosti se navíc díky dnes již všudypřítomným komunikačním sítím a zejména internetu potýkáme nejen s hrozbami lokálního charakteru, ale i s hrozbami globálními. Proto je v této oblasti zájem na ochranu citlivých informací a významných informačních služeb deklarován nejen jako následování hodný princip, ale přímo jako povinnost ukotvená nově vznikající legislativou.
V oblasti obecné ochrany významných informačních systémů je to především ZKB a jeho prováděcí předpisy.
Tato metodika si klade za cíl oblast kybernetické a informační bezpečnosti zevrubně popsat a poskytnout odborné veřejnosti v sektoru zdravotnictví nástroj pro alespoň základní řešení této komplexní problematiky.
Jako taková si metodika klade za cíl poskytnout základní orientaci, vodítka a obecné principy a postupy s univerzální použitelností. Není detailním, všeobsažným nástrojem, ale jen základním vodítkem, které je třeba chápat jako výchozí bod pro realizaci prvních kroků a východisko pro další kontinuální práci na zajišťování odborné ochrany citlivých informací a dat poskytovatelů zdravotních služeb.
Ministerstvo zdravotnictví ČR 5/23
2 Základní vysvětlení problematiky kybernetické bezpečnosti
Obecně lze konstatovat, že zabývat se ochranou dat a informací, ať už vymezených legislativou, nebo jiných významných dat a informací organizace, by mělo patřit k základním návykům jakékoliv organizace a ve stále více elektronizovaném světě se tato problematika dostává do centra zájmu jako podmínka kvalitního fungování a dlouhodobého přežití organizace.
2.1 Legislativní ukotveníOblast kybernetické bezpečnosti je rámcově vymezena především následujícími právními normami a mezinárodními standardy:
zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v aktuálním znění,
vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti),
ISO/IEC 27001:2014 Systémy řízení bezpečnosti informací,
směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii,
nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2.2 Oblasti působnostiVybraní poskytovatelé zdravotních služeb naplňují kritéria jedné z kategorií subjektů dotčených zákonem o kybernetické bezpečnosti – provozovatel základní služby. Neznamená to ale, že by pro ostatní poskytovatele zdravotních služeb nebyla kybernetická bezpečnost závažným tématem, které by mohly ignorovat. Požadavky na zabezpečení osobních údajů klade souběžně také zákon na ochranu osobních údajů a především nově Obecné nařízení o ochraně osobních údajů, které je šířeji zmíněno v následující kapitole.
2.2.1 Provozovatel základní službyRozhodnutí o zařazení do kategorie provozovatele základní služby určí připravovaná vyhláška o provozovatelích základních služeb a jejich určujících kritériích, kterou vydá Národní úřad pro kybernetickou a informační bezpečnost.
V době vydání této metodiky schválilo MZ ČR poradou vedení a předalo NÚKIB jako podklad pro připravovaný prováděcí předpis následující kritéria: Provozovatelem základní služby je poskytovatel zdravotních služeb, jehož celkový počet akutních lůžek v posledních
Ministerstvo zdravotnictví ČR 6/23
třech kalendářních letech je nejméně 800, nebo který má statut centra vysoce specializované traumatologické péče podle § 112 odst. 5 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování.
Ministerstvo zdravotnictví ČR 7/23
2.2.2 Povinnosti provozovatele základní službyPro organizace, spadající do této kategorie, platí povinnost vymezené ZKB a jeho prováděcími předpisy. V obecné rovině je tak možné tyto povinnost shrnout následovně:
zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti informačního systému (viz dále, jedná se zejména o vytvoření řídící dokumentace informační bezpečnosti, zavedení základních procesů sledování bezpečnosti a reakce na zjištěné incidenty a události, a zavedení vybraných technických opatření jak v oblasti aktivní kybernetické ochrany, tak i přípravu nástrojů a postupů ke zmírňování dopadů případných úspěšných útoků),
zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy,
zohlednit požadavky vyplývající z bezpečnostních opatření při výběru dodavatele pro jejich informační nebo komunikační systém a tyto požadavky zahrnout do smlouvy, kterou s dodavatelem uzavřou.
V praktické rovině to znamená, že taková organizace musí provést celou řadu organizačních a technických opatření, a to jak uvnitř vlastní organizace (úprava vnitřních organizačních předpisů, postupů a pravidel, investice do výpočetní technicky a nástrojů kybernetické bezpečnosti, apod.), tak ve vztahu k jejímu okolí (úprava vztahů s dodavateli, přenesení některých povinností i na své dodavatele a partnery, apod.)
Ministerstvo zdravotnictví doporučuje postupovat při naplňování těchto povinností v souladu s postupem, který je v základních obrysech popsán v kapitole 3 Postup přizajišťování kybernetické bezpečnosti. Dodržení uvedeného postupu spolu s aplikací metodik a šablon přiložených k tomuto dokumentu poskytuje záruku naplnění povinností definovaných zákonem a současně poskytuje jistotu optimálního postupu s dodržením všech logických i věcných návazností.
2.2.3 Doporučení pro ostatní poskytovatele zdravotních služeb mimo kategorii Provozovatel základní služby
Pro ostatní subjekty nemá ZKB přímý dopad, ale základní principy KB je nutné uplatnit jak s ohledem na výše zmíněné dopady Obecného nařízení o ochraně osobních údajů, tak vzhledem k prosté povinnosti věnovat se řízení organizace s řádnou péčí a odpovědností.
Z pohledu zajišťování kybernetické bezpečnosti je vhodné posoudit, která bezpečnostní opatření jsou s ohledem na kontext daného poskytovatele zdravotních služeb a jejích informačních aktiv účelná a ty zavést postupem shodným s tím, kterým se řídí subjekty podléhající přímé působnosti kybernetického zákona.
Ministerstvo zdravotnictví doporučuje naplnění alespoň základních kroků popsaných v této metodice, tj. jmenování bezpečnostních rolí, inventarizace aktiv, provedení analýzy rizik a vytvoření základní dokumentace popisující problematiku informační a kybernetické bezpečnosti, základní procedury sloužící k ochraně informací a odpovědnosti za jejich dodržování. Míra detailu jednotlivých kroků by měla korespondovat s rozsahem a závažností informací, které daný poskytovatel zdravotních služeb spravuje.
2.3 Problematika bezpečnosti informací
2.3.1 Základní charakteristika bezpečnosti informacíBezpečnost informací je charakterizována jako zachování důvěrnosti, integrity a dostupnosti informací, přičemž:
a) důvěrnost je zajištění toho, že informace není dostupná nebo není odhalena neoprávněným jednotlivcům, entitám nebo procesům,
b) integrita je zabezpečení přesnosti a úplnosti informace a metod jejího zpracování,
c) dostupnost je zajištění toho, že jsou informace je přístupná a použitelná na žádost oprávněného jednotlivce, entity nebo procesu.
2.3.2 Cíle a zásady bezpečnosti informací Bezpečnostním cílem spojeným se zajišťováním bezpečností informací v organizaci je zajištění dostupnosti informačních aktiv jen oprávněným osobám, správnosti a kompletnosti informací, důvěrnosti a bezpečnosti jejich zpracování a ochrany informací proti náhodnému nebo neoprávněnému zničení nebo náhodné ztrátě, proti neoprávněnému přístupu, změnám nebo šíření, a to v souladu se zákony a jinými právními předpisy ČR a provozními potřebami organizace.
Zaměstnanci organizace v rámci dodržování bezpečnosti informací zajišťují zejména:
ochranu práv a svobod jednotlivců, zejména právo na soukromí uznané v článku 7 Úmluvy o ochraně lidských práv a základních svobod, usnesení předsednictva ČNR č. 2/1993 Sb., o vyhlášení Listiny základních práv a svobod jako součásti ústavního pořádku České republiky,
ochranu údajů týkajících se jednotlivých občanů, organizací nebo malých organizací, spojenou s povinností mlčenlivosti podle zvláštního zákona,
ochranu osobních údajů a citlivých údajů podle zvláštního zákona,
ochranu skutečností, jejichž zneužití by mohlo vést k ohrožení života, zdraví, majetku, životního prostředí nebo podnikatelského zájmu právnické osoby nebo fyzické osoby vykonávající podnikatelskou činnost podle zvláštních právních předpisů,
ochranu osobnosti podle zvláštního zákona,
ochranu prostředků a dat pro vytváření zaručeného elektronického podpisu podle zvláštního zákona,
Ministerstvo zdravotnictví ČR 9/23
ochranu obchodního tajemství podle zvláštního právního předpisu a obsahu smluv obchodně závazkových vztahů, pokud se k tomu v uzavřené smlouvě dotčená organizace zavázala,
ochranu listovního tajemství atd.
Organizace by měla podporovat takto stanovené cíle bezpečnosti informací a vyjádřit tuto podporu přijetím Bezpečnostní politiky informací, popisující strategii trvalého zajišťování bezpečnosti informací jako nedílné součásti řídících procesů organizace.
2.3.3 Bezpečnostní opatřeníZákladním nástrojem pro zajištění kybernetické bezpečnosti je realizace bezpečnostních opatření. Bezpečnostní opatření se dělí do dvou oblastí – na opatření organizační a opatření technická.
Organizační opatření Technická opatření
systém řízení bezpečnosti informací
řízení rizik
bezpečnostní politika
organizační bezpečnost
stanovení bezpečnostních požadavků pro dodavatele
řízení aktiv
bezpečnost lidských zdrojů
řízení provozu a komunikací
řízení přístupu osob
akvizice, vývoj a údržba
zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů
kontrola a audit
fyzická bezpečnost
nástroj pro ochranu integrity komunikačních sítí
nástroj pro ověřování identity uživatelů
nástroj pro řízení přístupových oprávnění
nástroj pro ochranu před škodlivým kódem
nástroj pro zaznamenávání činnosti informačních systémů, jejich uživatelů a administrátorů
nástroj pro detekci kybernetických bezpečnostních událostí
nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
aplikační bezpečnost
kryptografické prostředky
nástroj pro zajišťování úrovně dostupnosti informací
bezpečnost průmyslových a řídících systémů
Způsob realizace jednotlivých bezpečnostních opatření je definován v rámci zavedení systému řízení bezpečnosti informací (SŘBI, nebo též ISMS) a je zpravidla popsán v dokumentu Bezpečnosti politika informací dané organizace.
Technický popis realizace jednotlivých zvolených opatření je pak součástí metodické základny SŘBI.
Ministerstvo zdravotnictví ČR 10/23
V zásadě lze k opatřením v oblasti organizační přistoupit jako k revizi procesů strategického a operativního řízení informačního systému, tj. jde o to, prověřit (nebo vytvořit) základní politiky správy informací tak, aby jako jedno z podstatných hledisek práce s daty a informacemi ve všech jejich podobách byla bezpečnost těchto dat a informací. Návazně na to je pak potřeba upravit jednotlivé provozní dokumenty (příručky, postupy, směrnice a metodiky) v celé oblasti ICT, ale také v oblasti hlavních činností organizace, které jsou především nositelem informací a jejichž potřebám ICT slouží.
Zde je třeba podtrhnout, že kybernetická a informační bezpečnost není problém technický, a nedotýká se výhradně ICT. Je to problém všech informačních činností organizace, tedy všech pracovníků, kteří shromažďují data a informace, a ty pak zpracovávají nebo ukládají buď v informačních systémech, nebo také třeba v papírové podobě v nejrůznějších kartotékách a evidencích.
Na úrovni technických opatření jde pak především o zavedení takových nástrojů, které omezí neoprávněné nebo nesprávné nakládání s daty a informacemi (opět od úrovně fyzického zabezpečení, až po sofistikované systémy pro sledování aktivit v počítačové síti, šifrování dat a jejich přenosů a další aktivní i pasivní prvky kybernetické bezpečnosti). Volba těchto nástrojů je vždy na konkrétní organizaci a jejích potřebách, přičemž vodítkem pro míru nutného zabezpečení a adekvátnost nákladů na jeho vybudování by měla být především analýza rizik informačních aktiv (viz dále v kapitole 3 Postup při zajišťování kybernetickébezpečnosti)
Ministerstvo zdravotnictví doporučuje zavedení všech uvedených organizačních opatření a přizpůsobení výběru a způsobu zavedení technických opatření s ohledem na rozsah a závažnost informací, které daný poskytovatel zdravotních služeb spravuje.
Ministerstvo zdravotnictví ČR 11/23
3 Postup při zajišťování kybernetické bezpečnosti
Tento stručný průvodce zajišťováním informační a kybernetické bezpečnosti představuje základní doporučení Ministerstva zdravotnictví, jak postupovat při řešení této problematiky u poskytovatele zdravotních služeb.
Jednotlivé pojmy, koncepty a postupy jsou dále rozvedeny v následujících kapitolách, případně v metodických přílohách.
Celý popsaný proces se opírá o základní východiska definovaná v ZKB, který představuje nejen závaznou právní normu pro vybrané organizace, ale především je spolu se svými prováděcími předpisy, zejména pak VKB, metodickým návodem popisujícím základní principy uplatnitelné v libovolné organizaci.
Tak jako je univerzální potřeba identifikovat a ochránit důležité nebo citlivé informace, jsou univerzální ve své podstatě i postupy a nástroje k této ochraně sloužící.
Jednotlivé následující kapitoly popisují základní aspekty tohoto univerzálního postupu zobrazené na grafu v levé části této stránky, a jsou dále rozpracovány v konkrétních metodických dokumentech a vzorových politikách, které tvoří přílohy této metodiky.
3.1 Stanovení rolí a odpovědnostíV souladu s platnou legislativou je definován jeden kolektivní řídící orgán a tři základní role účastnící se zavádění a udržování systému řízení bezpečnosti informací, a to:
výbor pro řízení kybernetické bezpečnosti,
manažer kybernetické bezpečnosti,
architekt kybernetické bezpečnosti,
auditor kybernetické bezpečnosti.
Náplň činnosti těchto rolí je do značné míry upravena VKB. Uvedené organizační uspořádání zavádí takové oddělení kompetencí a odpovědností, aby byl systém řízení informační bezpečnosti účinný a mohl kvalitně fungovat jak v oblasti návrhu změn a jejich zavádění (především role architekta), tak v rovině běžného provozu a rutinního uplatňování
Ministerstvo zdravotnictví ČR 12/23
Stanovení rolí a odpovědností viz kapitolu 3.1
Identifikace a kategorizace aktiv
viz kapitolu 3.2
Analýza a řízení rizik viz kapitolu 3.3
Zpracování politiky bezpečnosti informací
viz kapitolu 3.4
Zpracování řídící dokumentace viz kapitolu 3.5
Zavedení opatření do praxe viz kapitolu 3.6
zavedených bezpečnostních opatření (role manažera). Výbor představuje zastřešení a vazbu problematiky na nejvyšší vedení organizace.
Ministerstvo zdravotnictví doporučuje, aby vedení organizace jmenovalo do uvedených rolí konkrétní osoby s mírou formalizace odpovídající vnitřním předpisům organizace. Formální stránka jmenování je klíčová pro zajištění dostatečně silné autority k prosazování principů a pravidel kybernetické bezpečnosti. Jmenované pracovníky je nutné seznámit s jejich povinnostmi stanovenými v řídící dokumentaci, současně je vhodné poskytnou jim také odborné vzdělávání a podporu k výkonu těchto rolí. Současně je vhodná volba personálního obsazení jednotlivých rolí, nebo jejich přičlenění ke stávajícím rolím zavedeným v organizační struktuře, klíčovým předpokladem úspěšného zavedení a provozování systému řízení bezpečnosti informací.
Vzorovou definici rozdělní kompetencí a odpovědností mezi uvedené role je možné nalézt rovněž v příloze Určené bezpečnostní role .
Role manažera a architekta kybernetické bezpečnosti může být v odůvodněných případech sloučena, auditor kybernetické bezpečnosti ale musí být z definice nezávislou osobou, která bude schopna nestranně posoudit stav přijatých opatření a kybernetické bezpečnosti jako celku a není tedy možné, aby se současně jakkoliv podílel na realizaci systému řízení bezpečnosti informací.
Definice rolí v rámci systému řízení bezpečnosti informací a v organizačním kontextu, včetně jejich naplnění, bude formalizována v bezpečnostní dokumentaci, kterou organizace zpracuje.
3.2 Identifikace a kategorizace aktivInformačními aktivy se v primárním slova smyslu rozumí základní soubory informací, se kterými organizace pracuje. Sekundárně se pak jedná o všechny systémy, soubory programového i hardwarového vybavení a další komponenty informačního systému organizace, které slouží ke získávání, zpracování a uchování primárních informačních aktiv.
Pokud má být organizace schopna efektivně informace své a svých pacientů, zaměstnanců, obchodních partnerů a dalších zainteresovaných stran chránit, musí mít v první řadě jasno, jaké všechny informace shromažďuje a zpracovává, a jaké k tomu používá nástroje. Právě k tomuto účelu slouží inventarizace a kategorizace aktiv.
Ministerstvo zdravotnictví doporučuje provést vstupní inventarizaci aktiv v souladu s doporučenou metodikou (viz přílohu Metodika identifikace a správy informačních aktiv) a udržovat přehled informačních aktiv i jejich klasifikaci aktuální.
Identifikace informačních aktiv pomáhá organizaci stanovit, jaké informace, systémy a zařízení představují klíčové hodnoty a je třeba je chránit. Identifikace informačních aktiv a jejich následná analýza je základním předpokladem pro možnost efektivního řízení jejích
Ministerstvo zdravotnictví ČR 13/23
bezpečnosti, ať už v rámci procesů analýzy a následného řízení rizik v kontextu systému řízení bezpečnosti informací, nebo procesů správy informačního systému a informačních technologií.
Informační aktiva jsou řazena v hierarchické struktuře, počínaje samotnými informacemi, přes informační systémy, které data a informace zpracovávají, až po konkrétní technologie a komponenty, které provoz těchto informačních systémů zajišťují.
V praktické rovině provedení analýzy informačních aktiv znamená, že by měly být identifikovány všechny skupiny informací, které mají pro organizaci nějaký význam nebo se kterými pracuje. Například se jedná o jednotlivé soubory zdravotnické a ošetřovatelské dokumentace, informace o hospodaření s léky, o provedených výkonech, ale i ekonomické nebo personální informace, a tak dále. U těchto skupin je pak stanovena jejich významnost z pohledu fungování organizace a způsob práce s nimi, tj. například jestli se jedná o informace uchovávané v papírové nebo digitální podobě, místě a způsobu jejich uložení a zpracování, informačních systémech, kartotékách či jiných nástrojích sloužících pro jejich zpracování a uložení, a tak podobě.
Ministerstvo zdravotnictví doporučuje, aby pro identifikaci aktiv Manažer kybernetické bezpečnosti sestavil tým specialistů průřezově z celé organizace tak, aby byl tento tým skutečně schopen identifikovat a správně ohodnotit význam a hodnotu všech typů informací a informačních aktiv a podpůrných systémů sloužících k jejich zpracování.
3.2.1 Klasifikace aktiv dle ZKBV kontextu ZKB jsou rozlišovány tři základní kategorie informačních aktiv:
Primárním aktivem se rozumí informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém
Podpůrným aktivem se rozumí technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému
Technickým aktivem se rozumí technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny
Rozlišení informačních aktiv hraje významnou úlohu v následné analýze rizik a obecně v přístupu k jejich ochraně a zabezpečení.
Vzorová metodika pro práci s informačními aktivy je uvedena v příloze Metodikaidentifikace a správy informačních aktiv.
Ministerstvo zdravotnictví ČR 14/23
3.3 Analýza a řízení rizikAnalýza rizik se zabývá stanovením hrozeb a míry rizika ve vztahu k jednotlivým identifikovaným aktivům a jejich množinám v rámci stanoveného rozsahu systému řízení bezpečnosti informací, přičemž jeho rozsah musí být organizací pro účely analýzy rizik předem vymezen jako konečná množina aktiv a opatření.
Ministerstvo zdravotnictví doporučuje v rámci plánování, implementace, ale i následné údržby systému řízení informační bezpečnosti, periodicky provádět analýzu a řízení rizik. Tato analýza bude prováděna pro informační aktiva identifikovaná v souladu s postupy popsanými v předchozí kapitole. Její realizace bude probíhat v souladu s potřebami systému řízení bezpečnosti informací organizace.
Přístup založený na riziku a jeho eliminaci je společný jak koncepci kybernetické bezpečnosti, jak ji chápe platná právní úprava i mezinárodní normy řady ISO/IEC 27000, tak z něj vychází principy a postupy Obecného nařízení o ochraně osobních údajů.
Klíčovým faktorem pro úspěšnou aplikaci toho principu je ovšem nejen kvalitní provedení analýzy rizik, ale především stanovení vhodných opatření pro eliminaci zjištěných rizik nebo zmírnění jejich dopadů a především pravidelný cyklus opětovné revize všech zjištění a nový cyklus provedení analýzy, plánu opatření a jejich realizace.
Vzorová metodika pro práci s riziky je uvedena v příloze Metodika analýzy a řízení rizik.
3.4 Formulace bezpečnostní politikyV souvislosti s vymezením rozsahu systému řízení bezpečnosti informací a kybernetické bezpečnosti je vhodné formálně definovat zásady systému řízení bezpečnosti informací a kybernetické bezpečnosti v dokumentu Politika bezpečnosti informací, ve kterém organizace:
a) popíše a vysvětlí způsob zajištění bezpečnosti informací,
b) stanoví bezpečnostní cíle,
c) stanoví rozsah a důležitost bezpečnosti informací,
d) uvede stručný výklad základních bezpečnostních zásad,
e) stanoví kritéria, kterými bude hodnoceno riziko, a definuje strukturu hodnocení rizik.
Vzorová bezpečnostní politika je uvedena v příloze Bezpečnostní politika informací.
Ministerstvo zdravotnictví ČR 15/23
3.5 Zpracování řídící dokumentace informační bezpečnosti V návaznosti na vytvoření Politiky bezpečnosti informací jakožto dokumentu definujícího základní principy bezpečnosti informací a kybernetické bezpečnosti je nutné vytvořit celý systém řídící a provozní dokumentace řízení bezpečnosti informací.
Ministerstvo zdravotnictví doporučuje zpracování dokumentace informační a kybernetické bezpečnosti nejméně v následujícím rozsahu:
a) základní řídící dokumentaci
bezpečnostní politika
strategie informační bezpečnosti
b) bezpečnostní dokumentaci
provozní dokumentaci,
havarijní plány a plány obnovy činnosti, apod.
Jako vhodné se rovněž jeví dopracování dalších typů dokumentů sloužících ke strukturovanému přístupu k jednotlivým aspektům provozu informačního systému organizace a zajišťování informační bezpečnosti:
c) základní dokumentaci informačního systému
strategické dokumenty (informační strategie, apod.) jako základ pro systematický přístup,
dokumentaci systému, postupů a procesů,
dokumentaci nastavení a průběhu kontrolních mechanismů (auditní plán, auditní záznamy, atp.),
dokumentaci pro externí kontrolní mechanismy (certifikace dle standardu ISO 27001, aj.),
a další.
Vzorové dokumenty jsou uvedeny v přílohách.
3.6 Zavádění opatření do praxePosledním, nejdůležitějším krokem při zajišťování kybernetické bezpečnosti a zavádění systému řízení bezpečnosti informací je uvedení naplánovaných opatření, pravidel, procesů, metod a nástrojů do praxe.
V rámci tohoto zavádění do praxe je nezbytné dbát za všech okolností, aby byl výkon všech dotčených procesů a aktivit v souladu s přijatými pravidly. Pro zajištění tohoto souladu je nezbytné dbát na zavedení systému průběžné kontroly všech klíčových aspektů organizace a všech hlavních dotčených procesů, a to jak prostředky interního auditu organizace, tak
Ministerstvo zdravotnictví ČR 16/23
případně využitím externích kontrolních mechanismů, ať už je to auditní orgán, nebo ověření zavedeného systému prostřednictvím certifikace.
V neposlední řadě je pak důležitým prvkem komunikace jak o plánech a postupu zavádění systému řízení bezpečnosti informací, tak o případných zjištěných bezpečnostních událostech a incidentech, a to jak s NCKB/ NÚKIB, tak se specialisty na kybernetickou bezpečnost Ministerstva zdravotnictví.
3.6.1 Postup implementace SŘBI a zavádění opatření do praxePro úspěšné zavedení systému řízení bezpečnosti informací Ministerstvo zdravotnictví doporučuje zpracování Strategického plánu a Akčního plánu implementace.
Strategický plán definuje cílový stav zajišťování kybernetické a informační bezpečnosti (tedy stav, ve kterém jsou všechna aktiva řádným způsobem zabezpečena, jsou nastavena všechna odpovídající technická opatření k jejich ochraně, stejně jako všechny procesy, které tento stav zavedly a udržují).
Akční plán naproti tomu popisuje, jakým způsobem (jakou posloupností kroků či projektů) bude tohoto cílového stavu dosaženo.
Akční plán musí definovat nejen věcnou náplň jednotlivých kroků na cestě k funkčnímu systému řízení bezpečnosti informací, ale musí také stanovit časové rámce pro jednotlivé kroky, jejich nároky na zajištění lidských i finančních zdrojů a jejich přínos k zajišťování informační a kybernetické bezpečnosti.
3.6.2 Vzdělávání a rozvoj kompetencíSouběžně s implementací technických i procesních opatření Ministerstvo zdravotnictví doporučuje zajistit také vzdělávání a rozvoj kompetencí v oblasti bezpečnosti informací, a to jak pro pracovníky zajišťující fungování SŘBI, tak pro všechny běžné pracovníky organizace, kteří přicházejí do styku s klíčovými informačními aktivy organizace.
Vzdělávací proces by měl být nastaven jako kontinuální, a měl by navazovat na hlavní kroky Akčního plánu a Strategického plánu rozvoje informační bezpečnosti organizace.
Ministerstvo zdravotnictví ČR 17/23
4 Financování problematiky prostřednictvím ESF
K financování investic potřebných pro zajištění kybernetické bezpečnosti byla vypsána v rámci Integrovaného regionálního operačního programu průběžná výzva č. 10 Kybernetická bezpečnost. V rámci této výzvy je možné podávat žádosti o finanční podporu projektů, směřujících k zavádění nových nebo modernizaci stávajících prvků k zajištění standardů kybernetické bezpečnosti.
4.1 Text výzvy a související dokumentaceVeškeré informace o výzvě, dokumenty s pravidly a podpůrná dokumentace pro žadatele, jsou uvedeny na internetovém portálu Ministerstva pro místní rozvoj na adrese:
https://www.strukturalni-fondy.cz/cs/Microsites/IROP/Vyzvy/Vyzva-c-10-Kyberneticka-bezpecnost
Pro přípravu žádosti jsou zejména významné tyto dokumenty::
Text výzvy (https://www.strukturalni-fondy.cz/getmedia/af1e28c4-870f-44e1-a54c-72757f527bb5/Text-10-vyzvy_ke-12-kvetnu-2017.pdf?ext=.pdf)
Specifická pravidla pro žadatele a příjemce https://www.strukturalni-fondy.cz/getmedia/758b0145-8759-48a0-b543-dc4812918dcd/Pravidla-10-vyzvy_Kyberbezpecnost_v-1-5_1.pdf?ext=.pdf
Přílohy Specifických pravidel pro žadatele a příjemce https://www.strukturalni-fondy.cz/getmedia/7ca1562e-de84-446f-a69d-965a4dcfb8c6/Prilohy-Pravidla-10-vyzvy_Kyberbezpecnost_v-1-5.zip?ext=.zip
4.2 Základní parametry výzvy
4.2.1 Termíny termín pro podávání žádostí na 22.11.2017
termín ukončení realizace na 22.11.2019
uznatelné náklady 1.1.2014 – 22.11.2019
4.2.2 Finanční parametry Celková alokace finančních prostředků pro výzvu 1,2 mld Kč
Minimální výše způsobilých nákladů 2 miliony Kč
Maximální výše způsobilých nákladů 300 milionů Kč
Kofinancování:
o org. složky státu 19,137 %
o organizace zřizované kraji a obcemi 10 %
Ministerstvo zdravotnictví ČR 18/23
o organizace zakládané kraji a obcemi 15 %
4.2.3 Podporované aktivityPodporovanými aktivitami jsou následující technická opatření:
fyzická bezpečnost,
nástroj pro ochranu integrity komunikačních sítí,
nástroj pro ověřování identity uživatelů,
nástroj pro řízení přístupových oprávnění,
nástroj pro ochranu před škodlivým kódem,
nástroj pro zaznamenávání činnosti významných informačních systémů, jejich uživatelů a administrátorů,
nástroj pro detekci kybernetických bezpečnostních událostí,
nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí,
aplikační bezpečnost,
kryptografické prostředky,
nástroj pro zajišťování úrovně dostupnosti informací a
bezpečnost průmyslových a řídicích systémů.
4.2.4 Povinné přílohy žádostiKlíčovými součástmi žádosti jsou Studie proveditelnosti a souhlas odboru hlavního architekta eGovernmentu (organizační útvar Ministerstva vnitra).
Studie proveditelnosti je základní koncepční dokument, popisující jaké změny má být v oblasti kybernetické bezpečnosti prostřednictvím realizace žádosti dosaženo, tj, popisuje především současný a cílový stav, jednotlivé části realizačního projektu, dodané produkty a realizované služby které mají přispět k naplnění cíle – zvýšení kybernetické bezpečnosti žadatele. Struktura Studie proveditelnosti je předepsána v prováděcích dokumentech výzvy (dokument Specifická pravidla pro žadatele a příjemce), stručný přehled je uveden níže.
Zajištění souhlasu OHA je poskytováno na základě písemné žádosti a předložení Studie proveditelnosti. Vyjádření podléhá stanoveným lhůtám, pro většinu projektů by mělo být vyjádření poskytnuto do 15 pracovních týdnů. Je ovšem možné, že bude ze strany OHA vyžádáno doplnění nebo vzneseny připomínky ke koncepci projektu a bude nutné podklady doplnit či upravit, je proto vhodné počítat i s určitou časovou rezervou.
Součástí žádosti o financování musí být dále následující přílohy (převážně formálního charakteru, případně založené na informacích obsažených ve Studii proveditelnosti:
1. Plná moc
2. Dokumentace k zadávacím a výběrovým řízením
Ministerstvo zdravotnictví ČR 19/23
3. Doklad o stanovení významného informačního systému nebo informačního systému nebo informačního systému základních služeb
4. Rekapitulace technických opatření
5. Seznam objednávek – přímých nákupů
6. Doklady k právní subjektivitě žadatele
7. Výpis z rejstříku trestů
8. Výpočet čistých jiných peněžních příjmů
9. Žádost o stavební povolení nebo ohlášení, případně stavební povolení nebo souhlas s provedením ohlášeného stavebního záměru nebo veřejnoprávní smlouva nahrazující stavební povolení
10. Projektová dokumentace pro vydání stavebního povolení nebo pro ohlášení stavby
11. Doklad o prokázání právních vztahů k nemovitému majetku, který je předmětem projektu
12. Položkový rozpočet stavby
13. Čestné prohlášení o spravování VIS/ISZS
14. Čestné prohlášení ke Stanovisku hlavního architekta eGovernmentu
15. Čestné prohlášení o skutečném majiteli
4.2.5 Struktura studie proveditelnostiStudie proveditelnosti musí mít v souladu s přílohou č. 2 Specifických pravidel pro žadatele a příjemce k průběžné výzvě č. 10 níže uvedenou strukturu. V rámci zmíněné přílohy jsou detailně popsány požadavky na obsah jednotlivých kapitol.
1. Obsah
2. Úvodní informace
3. Základní informace o žadateli
4. Charakteristika projektu a jeho soulad s programem
5. Podrobný popis projektu
6. Zdůvodnění potřebnosti realizace projektu
7. Management projektu a řízení lidských zdrojů
8. Řešení projektu
9. Výčet systémů zabezpečovaných v rámci projektu
10. Plnění technických opatření
11. Dlouhodobý majetek, pojištění
12. Výstupy projektu
13. Připravenost projektu k realizaci
Ministerstvo zdravotnictví ČR 20/23
14. Plán údržby
15. Analýza a řízení rizik
16. Vliv projektu na horizontální kritéria
17. Závěrečné hodnocení efektivity a udržitelnosti projektu
18. Způsob stanovení cen do rozpočtu projektu
19. Stavební řízení
20. Finanční analýza
4.2.6 Souhlasné Stanovisko hlavního architekta eGovernmentuZajištění souhlasného stanoviska odboru hlavního architekta se řídí pravidly stanovenými Ministerstvem vnitra. Základní informace k postupu získání souhlasu vč. formulářů pro podání žádosti jsou uvedeny na stránkách odboru Hlavního architekta eGovernmentu na adrese http://www.mvcr.cz/clanek/agenda-odboru-hlavniho-architekta-egovernmentu.aspx?q=Y2hudW09Mg%3d%3d
Pravidla pro vydání stanoviska OHA k výzvě 10 - Kybernetická bezpečnost jsou pak popsána v samostatném dokumentu, který je možné stáhnout na následující adrese http://www.mvcr.cz/soubor/sp-bezp-pdf.aspx
4.3 Podpora v rámci přípravy žádostíV rámci přípravy je možné konsultovat postup a nejasné otázky přímo s pracovníky CRR, kontaktní osobou je ředitel administrace projektů CRR Ing. Karel Manoch, MPA, tel.: +420 225 855 205, email [email protected], případně osoby za jednotlivé regiony dle kontaktního seznamu uvedeného na stránkách CRR na adrese http://www.crr.cz/cs/kontakty/kontaktni-osoby-k-vyzvam/10-vyzva/.
Ministerstvo zdravotnictví ČR 21/23
5 Ochrana osobních údajů v kontextu obecného nařízení
Součástí problematiky bezpečnosti informací a kybernetické bezpečnosti je samostatná oblast ochrany osobních údajů. Tato oblast nabývá s postupující digitalizací na významu, a proto byla nově upravena jednotnou evropskou legislativou.
Oblast ochrany osobních údajů je rámcově vymezena především následujícími právními normami:
nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů),
o nařízení je platné a účinnosti nabyde dne 25.5.2018,
o jedná se o obecné nařízení, což znamená, že je závazné ve všech členských státech ode dne nabytí účinnosti a to v plném rozsahu s výjimkou těch ustanovení, které členským státům výslovně umožňují či ukládají upravit danou otázku na vnitrostátní úrovni,
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdější pozdějších předpisů,
V oblasti zdravotnictví se dále uplatní rovněž následující právní norma:
zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách) ve znění pozdějších předpisů.
V zásadě je možné konstatovat, že veškeré údaje související se zdravotním stavem konkrétních fyzických osob, které vypovídají o jejich minulém, současném či budoucím tělesném nebo duševním zdraví, představují osobní údaje zasluhující zvláštní zacházení dle výše uvedených předpisů. Z této skutečnosti vyplývá, že každý poskytovatel zdravotních služeb, který vede v souladu s platnou legislativou zdravotnickou dokumentaci svých pacientů, je správcem osobních údajů a vztahují se na něj povinnosti definované v platné právní úpravě.
Ministerstvo zdravotnictví připravuje pro oblast ochrany osobních údajů v kontextu Obecného nařízení o ochraně osobních údajů samostatné metodické doporučení.
Ministerstvo zdravotnictví ČR 22/23
6 Vzorové dokumenty (politiky, strategie, metodiky)
Přílohou této metodiky jsou vzorové dokumenty a metodiky, které slouží k implementaci systému řízení bezpečnosti informací a kybernetické bezpečnosti organizací v resortu zdravotnictví:
1) Bezpečnostní politika informací
2) Určené bezpečnostní role
3) Strategie Kybernetické bezpečnosti
4) Stanovení rozsahu systému řízení bezpečnosti informací
5) Politika systému řízení bezpečnosti informací
6) Politika organizační bezpečnosti
7) Politika řízení dodavatelů
8) Politika řízení informačních aktiv
9) Politika bezpečnosti lidských zdrojů
10) Politika provozní bezpečnosti
11) Politika zálohování a obnovy informací
12) Politika poskytování a nabývání licencí programového vybavení a informací
13) Metodika identifikace a správy informačních aktiv
14) Metodika analýzy a řízení rizik
15) Metodika pro výkon auditu kybernetické bezpečnosti
Ministerstvo zdravotnictví ČR 23/23
![Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKODA [FLOWMON NETWORKS, A.S.]](https://static.dokumenty.site/doc/80x56/58ab1f041a28abb5278b51a5/co-vse-skryva-sitovy-provoz-a-jak-detekovat-kyberneticke-hrozby-martin.jpg)
