Zdravotnictví - kybernetická bezpečnost

Metodický pokyn poskytovatelům zdravotních služeb k problematice kybernetické bezpečnosti

Metodický pokyn poskytovatelům zdravotních služeb k problematice kybernetické bezpečnosti byl schválen Ministrem zdravotnictví ČR dne 05.09.2017.

Je určen k podpoře poskytovatelů zdravotních služeb při plnění povinností dle zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a při řešení problematiky bezpečnosti informací.

Kybernetická bezpečnost představuje specifickou oblast bezpečnosti informací, zaměřenou na ochranu informací uchovávaných a zpracovávaných v digitální podobě. Právě elektronizace totiž přináší nové výzvy, rizika a problémy, které je v souladu s oprávněným zájmem ochránit data a informace organizací i jednotlivců nutné řešit a které vyžadují systematické řešení jak v rovině technické, tak personální, procesní, fyzické a dalších.

Metodika si klade za cíl oblast kybernetické a informační bezpečnosti zevrubně popsat a poskytnout odborné veřejnosti v sektoru zdravotnictví nástroj pro alespoň základní řešení této komplexní problematiky. Metodika poskytuje základní orientaci, vodítka a obecné principy a postupy s univerzální použitelností. Není detailním, všeobsažným nástrojem, ale jen základním vodítkem, které je třeba chápat jako výchozí bod pro realizaci prvních kroků a východisko pro další kontinuální práci na zajišťování odborné ochrany citlivých informací a dat poskytovatelů zdravotních služeb.

Přílohou tohoto metodického pokynu jsou vzorové dokumenty a metodiky, které slouží k implementaci systému řízení bezpečnosti informací a kybernetické bezpečnosti organizací v resortu zdravotnictví:

1) Bezpečnostní politika informací

2) Určené bezpečnostní role

3) Strategie kybernetické bezpečnosti

4) Stanovení rozsahu systému řízení bezpečnosti informací

5) Politika systému řízení bezpečnosti informací

6) Politika organizační bezpečnosti

7) Politika řízení dodavatelů

8) Politika řízení informačních aktiv

9) Politika bezpečnosti lidských zdrojů

10) Politika provozní bezpečnosti

11) Politika zálohování a obnovy informací

12) Politika poskytování a nabývání licencí programového vybavení a informací

13) Metodika identifikace a správy informačních aktiv

14) Metodika analýzy a řízení rizik

15) Metodika pro výkon auditu kybernetické bezpečnosti

Obecně lze konstatovat, že zabývat se ochranou dat a informací, ať už vymezených legislativou, nebo jiných významných dat a informací organizace, by mělo patřit k základním návykům jakékoliv organizace a ve stále více elektronizovaném světě se tato problematika dostává do centra zájmu jako podmínka kvalitního fungování a dlouhodobého přežití organizace.