Aktualności

Audyt bezpieczeństwa - audytor, testy podatności, warunki akceptacji, NFZ

Podniesienia poziomu bezpieczeństwa teleinformatycznego – NFZ – Audyt bezpieczeństwa

Prezes Narodowego Funduszu Zdrowia zgodnie z zarządzeniem nr 8/2023/BBIICD  z dnia 16 stycznia 2023 r. wspiera  finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców.

Finansowanie przyznawane jest świadczeniodawcom będącym podmiotami wykonującymi działalność leczniczą w rozumieniu art. 2 ust. 1 pkt 5 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2022 r. poz. 633, 655, 974, 1079 i 2705), tj.:
1) prowadzącymi szpital albo szpitale i posiadającymi umowę lub umowy o udzielanie świadczeń opieki zdrowotnej zawarte z Narodowym Funduszem Zdrowia, zwanym dalej „Funduszem”, obowiązujące w 2021 r., 2022 r. oraz 2023 r., zwane dalej „umowami”, w rodzaju:
a) leczenie szpitalne lub
b) rehabilitacja lecznicza, lub
c) opieka psychiatryczna i leczenie uzależnień, lub
d) lecznictwo uzdrowiskowe,
2) posiadającymi obowiązujące w 2021 r., 2022 r. oraz 2023 r. zawarte z Funduszem umowę albo umowy w rodzaju opieka psychiatryczna i leczenie uzależnień, którzy nie są podmiotami wykonującymi działalność leczniczą, o których mowa w pkt 1, lub posiadającymi umowę albo umowy o realizację programu pilotażowego w centrach zdrowia psychicznego, o których mowa w rozporządzeniu Ministra Zdrowia z dnia 27 kwietnia 2018 r. w sprawie programu pilotażowego w centrach zdrowia psychicznego (Dz. U. z 2020 r. poz. 2086, z późn. zm.3) ), zwanego dalej „programem”,
– na działania dotyczące miejsca lub miejsc, o których mowa w art. 101 ust. 1 pkt 4, art. 102 ust. 1 pkt 4 oraz art. 102a ust. 1 pkt 4 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, a w przypadku podmiotów leczniczych zakładu leczniczego lub zakładów leczniczych w rozumieniu art. 2 ust. 1 pkt 14 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, prowadzone przez świadczeniodawcę w okresie do dnia 31 października 2023 r.

Warunki finansowania na podstawie wniosków złożonych w 2023 r.

Zgodnie z zarządzeniem nr 8/2023/BBIICD Prezesa Narodowego Funduszu Zdrowia  z dnia 16 stycznia 2023 r. w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców, finansowaniem mogą zostać objęte następujące czynności, które może podjąć świadczeniodawca, a mianowicie

1) zakup lub rozwój systemu kopii zapasowych;
2) zakup lub rozwój systemów Firewall;
3) zakup lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa;
4) zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera.
Udzielenie finansowania na zakup lub rozwój systemów Firewall, zakup lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa, zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera jest spełnienie warunków akceptacji dla tych czynności i wszystkich poprzedzających w pkt. 1-4 zostały określone w załączniku nr 1 do zarządzenia.

Warunki akceptacyjne finansowania NFZ – zarządzeniem  Prezesa Narodowego Funduszu Zdrowia nr 8/2023/BBIICD  z dnia 16 stycznia 2023 r. wspiera  finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców.

Prezes Narodowego Funduszu Zdrowia określił w zarządzeniu warunki akceptacyjne możliwości finansowania, które świadczeniodawca ma obowiązek spełnić, uzależniając od nich finansowanie.

Do warunków akceptacyjnych należą:

System kopii zapasowych

1) Podstawowym systemem, który może być objęty finansowaniem jest system kopii zapasowych wszystkich systemów służących udzielaniu świadczeń opieki zdrowotnej u świadczeniodawcy. System kopii zapasowych musi umożliwiać realizację kopii zapasowej za pomocą streamera lub biblioteki taśmowej. Kopie te muszą być przechowywane w innej lokalizacji niż środowisko produkcyjne, np. inny budynek, a w przypadku braku takiej możliwości, w pomieszczeniu oddalonym od serwerowni. System ten powinien umożliwiać odtworzenie kopii zapasowej i testowe odtworzenie systemów w środowisku testowym. Cały proces musi być opisany procedurą stanowiącą element dokumentacji bezpieczeństwa. Możliwe jest również wdrożenie innego systemu wykonywania kopii zapasowych, który nie będzie oparty na taśmach magnetycznych, jednak musi on być skonfigurowany przez osobę posiadającą kompetencje z zakresu realizacji systemów kopii zapasowych, gwarantującą wykonanie skutecznych kopii zapasowych oraz konfigurację separacji sieciowej.
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu kopii zapasowej, którego wynik potwierdzi utworzenie odmiejscowionej kopii zapasowej i odtworzenie z niej kompletnego systemu oraz wykonanej dokumentacji bezpieczeństwa.

Zakup lub rozwój systemów Firewall

2) Jeśli świadczeniodawca posiada powyższy system, o którym mowa w pkt 1, może w ramach finansowania zrealizować zakup lub rozwój systemów Firewall pozwalający analizować przesyłane pakiety pod względem ich treści wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu bezpieczeństwa sieci.

Kryterium akceptacji:
Efektem wdrożenia musi być wykonanie zewnętrznych skanów podatności, które wykażą brak podatności krytycznych oraz które mogą doprowadzić do incydentu poważnego w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863, z późn. zm.). Wnioskodawca jest zobowiązany do utwardzania konfiguracji do momentu uzyskania wskazanego efektu. Wyeliminowanie podatności musi być potwierdzone przez audyt bezpieczeństwa.

Zakupić system lub rozwój systemu poczty elektronicznej

3) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1 i 2, może w ramach finansowania zakupić system lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa, który będzie obejmował mechanizmy SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu poczty elektronicznej, którego wynik potwierdzi skuteczność wdrożenia SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.

Zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response

4) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1-3, może w ramach finansowania zrealizować zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera – klient na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu realizacji systemów antywirusowych.
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu Endpoint Detection and Response, na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy, który potwierdzi prawidłowość wdrożenia systemu.

Audyt bezpieczeństwa

Warunkiem udzielenia finansowania  jest także wykonanie audytu bezpieczeństwa, którego wynik potwierdza spełnienie warunków akceptacji dla danych czynności. Audyt ma potwierdzenie funkcjonowanie wykonanych czynności w zakresie finansowania i potwierdzić wdrożenie i działania rozwiązań w zakresie bezpieczeństwa teleinformatycznego.

Dlatego ważne jest, aby audyt zawierał raporty z warunków akceptacji (testy penetracyjne, testy bezpieczeństwa poczty elektronicznej, testy i raporty kopii zapasowych i przywracania, audyt systemu Endpoint Detection and Response) i był przeprowadzany zgodnie z normami dotyczącymi audytów, określając spełnienie warunków i wymogów zarządzania.

Co może jeszcze zostać objęte finansowaniem.

Finansowaniem mogą zostać objęte szkolenie albo szkolenia w zakresie cyberbezpieczeństwa skierowane do kierownika podmiotu leczniczego oraz jego zastępców, a także do osób zatrudnionych u świadczeniodawcy związanych z udzielaniem świadczeń opieki zdrowotnej oraz osób związanych z bezpieczeństwem IT, w łącznej kwocie nie wyższej niż 20% wartości danej umowy o finansowanie. Warunkiem udzielenia finansowania, o którym mowa w zdaniu poprzedzającym jest:
1) potwierdzenie odbycia szkolenia przez kierownika podmiotu leczniczego oraz wszystkich jego zastępców oraz
2) objęcie wnioskiem o finansowanie czynności, o których mowa w ust. 1, zgodnie z warunkami określonymi w ust. 2. zarządzania.

Warunki otrzymania finansowania

Warunkiem otrzymania przez świadczeniodawcę finansowania jest przeprowadzenie badania poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia, przed przystąpieniem do działań mających na celu podniesienie poziomu bezpieczeństwa, finansowanych w ramach niniejszego zarządzenia.

Po podjęciu przez świadczeniodawcę czynności wynikających z zarządzenia i objęciu ich finansowaniem, świadczeniodawca może przeprowadzić powtórne badanie poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia.

Fundusz dokona weryfikacji zmian poziomu bezpieczeństwa teleinformatycznego u świadczeniodawcy na podstawie wypełnionej i złożonej przez niego przed przystąpieniem do czynności wynikających z zarządzenia, ankiety, o której mowa w ust. 6 zarządzenia, oraz wyniku audytu bezpieczeństwa potwierdzającego zwiększenie poziomu bezpieczeństwa teleinformatycznego u świadczeniodawcy, przeprowadzonego zgodnie z załącznikiem nr 2 do zarządzenia.

Pobierz – Zarządzenie Prezesa Narodowego Funduszu Zdrowia nr 8/2023/BBIICD  z dnia 16 stycznia 2023 r. wspiera  finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców.

 

Jeżeli chcesz przeprowadzić warunki akceptacji i audyt bezpieczeństwa, zgodnie z wymaganiami NFZ i uzyskać akceptację finansowania  możesz skontaktować się z nami – Kontakt.

 

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM