SP ZZOZ w Przasnyszu zgodnie z decyzją Ministra Zdrowia został ustanowiony operatorem usług kluczowych, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2022r., poz. 1863). Usługi kluczowe świadczone przez SP ZZOZ w Przasnyszu to udzielanie świadczeń opieki zdrowotnej oraz obrót i dystrybucja produktów leczniczych.
Operator usługi kluczowej, to podmiot który spełnia poniższe warunki:
SP ZZOZ w Przasnyszu jako operator usługi kluczowej podejmuje odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez niego sieci i systemy informatyczne oraz odpowiednie środki zapobiegające i minimalizujące wpływ incydentów dotyczących bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w celu świadczenia takich usług kluczowych, z myślą o zapewnieniu ciągłości tych usług.
Cyberbezpieczeństwo zgodnie z obowiązującymi przepisami to „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” (art. 2 pkt 4) Ustawy z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2022r., poz. 1863).
Do najpopularniejszych zagrożeń w cyberprzestrzeni należy zaliczyć:
W celu ochrony przed zagrożeniami należy stosować zabezpieczenia:
W SP ZZOZ w Przasnyszu, w celu ochrony przed zagrożeniami wdrożono Politykę Bezpieczeństwa Przetwarzania i Ochrony Danych Osobowych.
SP ZZOZ w Przasnyszu stosuje wewnętrzne procedury i instrukcje w zakresie bezpieczeństwa informacji. Każdy, kto ma dostęp do informacji zobowiązany jest zgodnie z posiadanymi uprawnieniami do zapoznania się z Polityką Bezpieczeństwa Przetwarzania i Ochrony Danych Osobowych oraz do złożenia stosownego oświadczenia, potwierdzającego znajomość jej treści oraz przestrzegania jej zapisów.
SP ZZOZ w Przasnyszu szacuje ryzyko dla swoich usług kluczowych, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego oraz zgłasza tzw. incydenty poważne do CSIRT GOV, korzystając w tym zakresie ze wsparcia podmiotu zewnętrznego świadczącego usługi w zakresie cyberbezpieczeństwa.
Podstawę do identyfikacji ryzyka stanowią procesy i aktywa Szpitala, których realizacja ma bezpośredni wpływ na świadczenie usługi kluczowej w rozumieniu ustawy z dnia 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa.
Reakcja na niepożądane zdarzenia (incydenty) lub podatności:
SP ZZOZ w Przasnyszu zabrania użytkownikowi zgłaszającemu problem lub naruszenie bezpieczeństwa wykonywania jakichkolwiek działań "na własną rękę" rozwiązujących problem, za wyjątkiem działań niezbędnych dla zapewnienia bezpieczeństwa osobom i mieniu. Użytkownik w miarę możliwości powinien zabezpieczyć materiał dowodowy.