Podstawowe informacje związane z zagrożeniami cyberbezpieczeństwa

105. Kresowy Szpital Wojskowy z Przychodnią SPZOZ w Żarach decyzją Ministra Obrony Narodowej został uznany za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560), w zakresie udzielania świadczeń opieki zdrowotnej.

cyber

Za operatora usługi kluczowej uznaje się podmiot, jeżeli:

1) świadczenie tej usługi zależy od systemów informacyjnych,

2) incydent mógłby mieć istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

Podstawowe pojęcia:

1) cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy;

2) incydent – zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo;

3) incydent krytyczny – incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;

4) incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej;

5) incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej w rozumieniu art. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 z dnia 30 stycznia 2018 r. ustanawiającego zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 w odniesieniu do dalszego doprecyzowania elementów, jakie mają być uwzględnione przez dostawców usług cyfrowych w zakresie zarządzania istniejącymi ryzykami dla bezpieczeństwa sieci i systemów informatycznych, oraz parametrów służących do określenia, czy incydent ma istotny wpływ (Dz. Urz. UE L 26 z 31.01.2018, str. 48), zwanego dalej „rozporządzeniem wykonawczym 2018/151”;

6) incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny;

7) obsługa incydentu – czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu;

8) podatność – właściwość systemu informacyjnego, która może być wykorzystana przez zagrożenie cyberbezpieczeństwa;

9) ryzyko – kombinację prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;

10) szacowanie ryzyka – całościowy proces identyfikacji, analizy i oceny ryzyka;

11) system informacyjny – system teleinformatyczny, o którym mowa w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570 oraz z 2018 r. poz. 1000 i 1544), wraz z przetwarzanymi w nim danymi w postaci elektronicznej;

12) usługa cyfrowa – usługę świadczoną drogą elektroniczną w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2017 r. poz. 1219 oraz z 2018 r. poz. 650), wymienioną w załączniku nr 2 do ustawy;

13) usługa kluczowa – usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych;

14) zagrożenie cyberbezpieczeństwa – potencjalna przyczyna wystąpienia incydentu;

15) zarządzanie incydentem – obsługę incydentu, wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia oraz opracowywanie wniosków wynikających z obsługi incydentu;

16) zarządzanie ryzykiem – skoordynowane działania w zakresie zarządzania cyberbezpieczeństwem w odniesieniu do oszacowanego ryzyka.

Zgodnie z rozporządzeniem Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. 2018 poz. 2180) za kryteria krytyczności incydentu przyjąć należy:

  • brak dostępności usługi powyżej 24 godzin,
  • brak poufności danych przetwarzanych w usłudze,
  • brak integralności danych przetwarzanych w usłudze.

W obszarze usługi kluczowej funkcjonują w Szpitalu następujące procedury:

  • Polityka Ochrony Danych Osobowych,
  • Regulamin Ochrony Danych Osobowych,
  • Plan ciągłości działania,
  • Instrukcja Zarządzania Systemów Informatycznych,
  • Polityka kluczy,
  • Regulamin użytkowania komputerów przenośnych,
  • Metody i środki uwierzytelnienia,
  • Procedura tworzenia kopii zapasowych.

Tekst został opracowany na podstawie poniższych przepisów.

  • Ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. poz. 1560);
  • Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwa (Dz.U. 2019 poz. 2479);
  • Rozporządzenie Rady Ministrów z dnia 16 października 2018 roku w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. poz. 2080);
  • Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz.U. 2018 poz. 2180);