Professional Documents
Culture Documents
Cyberbezpieczeństwo W Placówkach Medycznych
Cyberbezpieczeństwo W Placówkach Medycznych
Cyberbezpieczeństwo W Placówkach Medycznych
w placówkach medycznych
Od Redakcji
Wiedza i Praktyka
ul. Łotewska 9A, 03-918 Warszawa
NIP: 526-19-92-256
Redaktor:
Anna Śmigulska-Wojciechowska
Kierownik grupy tematycznej:
Alina Sulgostowska
Menedżer produktu: Klaudia Bogumił
Koordynacja produkcji:
Mariusz Jezierski, Magdalena Huta
Korekta: Zespół
Projekt graficzny publikacji:
Piotr Fedorczyk
Skład i łamanie: Raster studio
ISBN: 978-83-8344-003-3
Nr rejestrowy BDO: 000008579
2
Spis treści
Lista kontrolna: Co powinna zawierać Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji ..... 18
Ewidencja czynności w systemie informatycznym oraz ewidencja napraw systemu informatycznego ........... 21
Jak uchronić placówkę medyczną przed cyberatakiem – wskazówki dla administratorów ............................. 22
Lista kontrolna: Czy przestrzegasz najważniejszych zasad ochrony danych pacjenta .................................... 25
Lista kontrolna: Czy nie dopuszczasz się najczęstszych uchybień w prowadzeniu dokumentacji medycznej . 26
4
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
6
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
– wówczas ADO nie powinien przetwarzać W decyzjach UODO z lat 2019–2022 organ:
takich danych osobowych (w przeciwnym • w pierwszej kolejności brał pod uwagę, czy
razie ponosi ryzyko sankcji przewidzianych doszło do utraty poufności, integralności
choćby przez RODO). Jednakże UODO wska- i dostępności danych, a następnie
zuje również na konieczność poszukiwania • oceniał, czy wystąpiło wysokie ryzyko naru-
alternatywnych rozwiązań. Otóż ADO może szenia praw lub wolności osób fizycznych,
– z uwagi na wysokie koszty – minimalizować po czym
wykryte ryzyko poprzez przekazanie, w celu • sprawdzał poprawność wykonanej analizy
obniżenia ryzyka, danych osobowych np. ryzyka oraz czy ADO wywiązywał się w sposób
podmiotowi dysponującemu odpowiednimi prawidłowy z nałożonych na niego obowiąz-
narzędziami pozwalającymi ten cel osiągnąć. ków dotyczących wdrożenia odpowiednich
W związku z powyższym ADO może podpi- środków technicznych i organizacyjnych,
sać z takim podmiotem umowę powierzenia w celu zapewnienia stopnia bezpieczeństwa
danych zgodnie z art. 28 RODO. odpowiadającego temu ryzyku.
8
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
10
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
12
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
WAŻNE
W kontekście omawiania podatności UODO odsyła
W celu zapewnienia bezpieczeństwa powinniśmy
na stronę https://www.cvedetails.com/. Common zaszyfrować transmisję danych w naszej sieci.
Vulnerabilities and Exposures (dalej: CVE) to słow-
14
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
– w tym przypadku musimy wdrożyć fizyczne zapasowej danych należy wytworzyć pisemny
odseparowanie kopii danych. dowód zawierający wynik tego działania. Cho-
dzi w tym przypadku o dowód, jak podkreśla
Warto również dodać, że w związku z wykony- przedstawiciel UODO: „wiarygodny i zgodny
waniem przez ADO testu przywracania kopii ze stanem faktycznym”.
REGUŁA 3-2-1
W stosunku do kopii zapasowych UODO zwraca uwagę na możliwość zastosowania tzw. reguły
3-2-1. Polega ona na:
• posiadaniu co najmniej 3 egzemplarzy danych – tworzymy w tym celu kilka kopii zapa-
sowych każdej maszyny wirtualnej;
• przechowywaniu egzemplarzy danych na co najmniej 2 różnych nośnikach – np. w chmu-
rze i na dysku twardym, oraz
• przechowywaniu 1 kopii zapasowej na zewnątrz organizacji – np. przesyłać kopie zapa-
sowe do zewnętrznego repozytorium udostępnianego przez danego usługodawcę.
Działanie
Odpowie- zapobie-
dzialny gawcze /
Naru- Źródło
za błąd/ korygu-
szenie zgłoszenia Ocena
narusze- jące wraz
bezpie- – osoba/ Data skutecz-
Data roz- nie lub ze wska-
czeństwa podmiot zakończe- Przyczyna ności
poczęcia infor- zaniem
– opis zgłasza- nia podjętych
macja osoby
narusze- jący incy- działań
o braku odpowie-
niaa dent
takiej dzialnej
osoby za wyko-
nanie
Podstawa prawna:
f rozporządzenie Parlamentu
Europejskiego i Rady (UE)
2016/679 z 27 kwietnia
2016 r. w sprawie ochrony
osób fizycznych w związku
z przetwarzaniem danych
osobowych i w sprawie
swobodnego przepływu
takich danych oraz uchy-
lenia dyrektywy 95/46/WE
(ogólne rozporządzenie
o ochronie danych, RODO).
Podstawa merytoryczna:
f webinarium „Zabezpiecze-
nia techniczne przetwarza-
nych danych osobowych”
– zorganizowane przez
Dla .......................................................... Urząd ochrony Danych
Osobowych, dostępne pod
dane administratora adresem: https://uodo.gov.
pl/pl/138/2451.
Zgodnie z art. 40 ust. 1 ogólnego rozporządze- Do omawianego Kodeksu nie mogą zatem
nia o ochronie danych (dalej: RODO) państwa przystąpić wszystkie podmioty. Część z nich
członkowskie, organy nadzorcze, Europejska może natomiast wyrazić zainteresowanie sto-
Rada Ochrony Danych oraz Komisja Europejska sowaniem skierowanego do wszystkich pod-
zachęcają do sporządzania kodeksów postępo- miotów wykonujących działalność leczniczą
wania mających pomóc we właściwym stoso- Kodeksu postępowania dla sektora ochrony
waniu RODO – z uwzględnieniem specyfiki zdrowia. Dotyczy on podmiotów wykonują-
różnych sektorów dokonujących przetwarza- cych działalność leczniczą i podmiotów prze-
nia oraz szczególnych potrzeb mikroprzedsię- twarzających. Stworzyła go Polska Federacja
biorstw oraz małych i średnich przedsiębiorstw. Szpitali. Jakkolwiek UODO pozytywnie zaopi-
Warto w tym miejscu podkreślić, że opraco- niował jego projekt, to wciąż czekamy na jego
wanie takich kodeksów ani ich stosowanie nie oficjalne zatwierdzenie przez urząd. Dopiero
jest niczyim obowiązkiem. Tego typu kodeksy po tym fakcie ten drugi kodeks można będzie
wymagają jednak oficjalnego zatwierdzenia, co wykorzystać w praktyce.
16
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
• ZSZ.ISO.PBI-Ksiega_Zintegrowanego_Systemu_Zarzadzania
• ZSZ.ISO.SOA-Deklaracja_Stosowania
• ZSZ.ISO.PR.7.5.3-Nadzor_nad_Udokumentowanymi_Informacjami
• ZSZ.ISO.PR.9.2-Audyt_Wewnetrzny_ZSZ
• ZSZ.ISO.PR.9.3-Przeglad_Zarzadzania
• ZSZ.ISO.PR.A.12.6.1-Zarzadzanie_Podatnosciami
• ZSZ.ISO.PR.A.16-Z2-Instrukcja_Zabezpieczania _Materiału_Dowodowego
• ZSZ.ISO.PR.A.16-Z1-Rejestr_Zdarzen_i_Incydentow
• ZSZ.ISO.PR.A.16-Zarzadzanie_Incydentami_Bezpieczenstwa
• ZSZ.ISO.PR.A.8.3-Zarzadzanie_Nosnikami_Informacji
• ZSZ.ISO.PR.A.7-Zarzadzanie_Bezpieczenstwem_Zasobow_Ludzkich
• ZSZ.ISO.P.01-Polityka_Dostepu_do_Srodowiska_Teleinformatycznego
• ZSZ.ISO.P.A.15-Polityka_Bezpieczenstwa_Informacji_dla_Wykonawców
• ZSZ.ISO.PR.10.1-Dzialania_Korygujace
• ZSZ.ISO.P.A.14-Polityka_Pozyskiwania_Rozwoju_i_Utrzymania_Systemow
• ZSZ.ISO.PR.A.18.2.2-Zarzadzanie_Wyjatkami_Bezpieczenstwa_Informacji
• ZSZ.ISO.SL-01-Slownik_Definicji_i_Skrotow
• ZSZ.ISO.PR.A.8.2-Zasady_Postepowania_z_Informacjami_- zmiany
Źródło:
f „Plan działania w zakre- • Polityka-i-metodyka-zarzadzania-ryzykiem
sie cyberbezpieczeństwa
w ochronie zdrowia”, Cen- • Polityka nadawania, odbierania, modyfikacji uprawnień
trum e-Zdrowia
18
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
Wszelkie narzędzia pracy przekazane przez pracodawcę, czyli zarówno komputer, jak
i dostęp do Internetu, są własnością pracodawcy i powinny być wykorzystywane zgodnie
z jego wymaganiami.
Użytkownicy nie mają prawa do instalowania ani używania oprogramowania innego niż
przekazane lub udostępnione im przez Pracodawcę. Zakaz dotyczy między innymi insta-
lacji oprogramowania z zakupionych płyt CD, programów ściąganych ze stron interneto-
wych, a także odpowiadania na samoczynnie pojawiające się reklamy internetowe.
Użytkownicy nie mają prawa do zmiany parametrów systemu, które mogą być zmie-
nione tylko przez osobę upoważnioną.
20
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
WZÓR
EWIDENCJA CZYNNOŚCI W SYSTEMIE INFORMATYCZNYM DLA PODMIOTU
………………………………
Opis wydarzenia Podpis
Lp. Data Uwagi
w systemie adminstratora
22
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
24
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
h. brak czytelności
a. poziomu odpłatności
b. wskazań refundacyjnych
26
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
WZÓR
Procedura nadawania uprawnień w systemie informatycznym w (X Sp. z o.o.) z dnia (...)
§ 1. Zakres procedury
Niniejsza procedura opisuje proces nadawania, modyfikacji i odbierania uprawnień do pracy w systemach
informatycznych używanych w X Sp. z o.o.
§ 2. Definicje
Ilekroć w niniejszej procedurze jest mowa o:
1) ADO – należy przez to rozumieć administratora danych osobowych, tj. (X Sp. z o.o działającą poprzez jej
najwyższe kierownictwo);
2) danych osobowych – należy przez to rozumieć informacje o zidentyfikowanej lub możliwej do zidenty-
fikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpo-
średnio lub pośrednio zidentyfikować, zwłaszcza na podstawie identyfikatora, takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych
czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub
społeczną tożsamość osoby fizycznej;
3) IOD – należy przez to rozumieć inspektora ochrony danych zatrudnionego w (X Sp. z o.o.);
4) najwyższym kierownictwie – należy przez to rozumieć (np. wszystkich członków zarządu X sp. z o.o.);
5) systemie informatycznym – należy przez to rozumieć zarówno własne, jak i zewnętrzne systemy infor-
matyczne używane w organizacji ADO, a wymienione w załączniku nr 5 do procedury;
6) Upoważniającym – należy przez to rozumieć osobę wskazaną w załączniku nr 1, która ma prawo, z woli
ADO, nadawać, modyfikować i odbierać upoważnienia do pracy w danym systemie informatycznym;
7) Użytkowniku – należy przez to rozumieć osobę, w tym pracownika ADO, jak też inne osoby współpracu-
jące z ADO na innej niż umowa o pracę podstawie prawnej, w stosunku do których ADO i Upoważniający
poodejmują decyzje w zakresie ich dostępu do systemów informatycznych.
§ 3. Adresaci procedury
Z niniejszą procedurą ma obowiązek się zapoznać cały personel (X Sp. z o.o.), tj. wszyscy pracownicy, jak
też osoby współpracujące z (X Sp. z o.o.) na innej podstawie prawnej, które wykonują zadania wymagające
dostępu do systemów informatycznych.
28
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
§ 7. Forma upoważnienia
1. Upoważnienie do pracy w systemie informatycznym nadaje się Użytkownikom w (np. pisemnej formie
elektronicznej).
2. Wzór upoważnienia do pracy w systemie informatycznym stanowi Załącznik nr 3 do niniejszej procedury.
§ 8. Przechowywanie upoważnień
Każde nadane upoważnienie należy przechowywać w [np. biurze informatyki, w szafach zamykanych na
klucz/w folderze Y zabezpieczonym hasłem, do którego dostęp mają wyłącznie (...)].
§ 16. Kontrola
1. (np. najwyższe kierownictwo oraz IOD) mogą w każdej chwili żądać dostępu do ewidencji uprawnień
oraz do systemów informatycznych w celu sprawdzenia, komu uprawnienia nadano oraz czy zarządzanie
uprawnieniami następuje zgodnie z zasadami opisanymi w niniejszej procedurze.
2. W przypadku opisanym w ust. 1 polecenia związane z kontrolą wydaje się (np. kierownikowi działu infor-
matyki).
Załącznik nr 1:
Osoby uprawnione do wydawania upoważnień (Upoważniający)
Załącznik nr 2:
Oświadczenie użytkownika składane przed przystąpieniem do pracy w danym systemie
informatycznym
• zapoznałem się z zasadami ochrony danych osobowych obowiązującymi w X Sp. z o.o. zawartymi w mate-
riałach (np. Polityka bezpieczeństwa);
• zobowiązuję się zachować w tajemnicy wszelkie informacje uzyskane w związku z korzystaniem z systemu
informatycznego (…), również po ustaniu współpracy z X Sp. z o.o.
Podpis użytkownika
Załącznik nr 3:
Wzór upoważnienia
w następującym zakresie:
System Data nadania Zakres czynności Data obowiązywania Uwagi
informatyczny, upoważnienia w ramach upoważnienia
do którego systemu,
przyznawany jest których dotyczy
dostęp upoważnienie
np. System e-klient 16.09.2022 r. Wprowadzanie, Do czasu rozwiązania n/d
edycja, podgląd umowy o pracę
i usuwanie danych
(...)
30
CYBERBEZPIECZEŃSTWO W PLACÓWKACH LECZNICZYCH
Załącznik nr 4:
Ewidencja uprawnień
Czy użyt-
Dane
Informacje
kow-
identy-
Imię Obecny o mody-
nik ma
fikujące Data nada- Upo-
i nazwi- zakres fikacji
obecnie Historia
użytkow- nia upraw- ważnia-
sko Użyt- upraw- uprawnień
dostęp uprawnień
nika (np. nienia jący
kownika nienia lub ich cof-
do sys-
nazwa sta-
nięciu
temu?
nowiska)
TAK/NIE
Albin Starszy 16.03.2019 r. Np. kie- Brak Uprawnie- NIE 16.03.2019
Bielecki specjalista rownik upraw- nia cofnięto – nadano upraw-
ds. sprze- działu nień w pełnym nienie w zakresie
daży sprze- zakresie „Wprowadza-
daży 31.12.2020 r. nie i podgląd
danych” w syste-
mie e-klient
16.04.2019 r.
– rozszerzono
uprawnienia na
„Wprowadza-
nie, edycja, pod-
gląd i usuwanie
danych” w syste-
mie e-klient
31.12.2020 r.
– umowę
o pracę rozwią-
zano z dniem
31.12.2020 r.
31.12.2020 r.
– cofnięto
wszystkie upraw-
nienia w systemie
e-klient
(…) (…) (…)
(…) (…) (…)
Załącznik nr 5:
Systemy informatyczne używane w organizacji ADO
Dział wiodący
Do czego dany system
Nazwa systemu w użytkowaniu Upoważniający
służy
systemu
np. system Windows System operacyjny do tworze- Dział informatyki Np. kierownik działu informatyki Podstawa prawna:
nia podstawowej dokumentacji f rozporządzenie Parlamentu
elektronicznej oraz wymiany Europejskiego i Rady (UE)
informacji w (X Sp. z o.o.) 2016/679 z 27 kwietnia
np. e-klient System do podtrzymywania Dział sprzedaży Np. kierownik działu sprzedaży 2016 r. w sprawie ochrony
relacji z klientem osób fizycznych w związku
z przetwarzaniem danych
np. e-PUAP Krajowa platforma teleinforma- Dział prawny Np. kierownik działu prawnego osobowych i w sprawie
tyczna służąca do komunikacji swobodnego przepływu
obywateli z jednostkami admi- takich danych oraz uchy-
nistracji publicznej lenia dyrektywy 95/46/WE
(...) (...) (...) (ogólne rozporządzenie
o ochronie danych).
WZÓR
Zasady korzystania z poczty elektronicznej
1. System Poczty Elektronicznej jest przeznaczony wyłącznie do wykonywania obowiązków służ-
bowych.
2. Przy korzystaniu z Systemu Poczty Elektronicznej Użytkownicy mają obowiązek przestrzegać
prawa własności przemysłowej i prawa autorskiego.
3. Użytkownicy mają prawo korzystać z Systemu Poczty Elektronicznej do celów prywatnych
wyłącznie okazjonalnie i powinno być to ograniczone do niezbędnego minimum.
4. Korzystanie z Systemu Poczty Elektronicznej do celów prywatnych nie może wpływać na jakość
i ilość świadczonej przez Użytkownika pracy oraz na prawidłowe i rzetelne wykonywanie przez
niego obowiązków służbowych, a także na wydajność Systemu Poczty Elektronicznej.
5. Użytkownik jest świadomy, że wszelkie wiadomości o charakterze prywatnym utworzone lub
odebrane za pośrednictwem Systemu Poczty Elektronicznej Pracodawcy przetwarzane są wyłącznie
na jego własną odpowiedzialność. Użytkownik jest świadomy możliwości prowadzenia kontroli
tych wiadomości przez Pracodawcę. Pracodawca nie będzie w tej sytuacji odpowiadać za przypad-
kowe naruszenie dóbr osobistych Użytkownika w postaci naruszenia tajemnicy korespondencji.
6. Użytkownicy nie mają prawa korzystać z Systemu Poczty Elektronicznej w celu przeglądania
lub rozpowszechniania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec
powszechnie obowiązujących zasad postępowania.
7. Użytkownik nie ma prawa wysyłać wiadomości zawierających informacje poufne w rozumie-
niu tajemnicy przedsiębiorstwa, jego pracowników, klientów, dostawców lub kontrahentów za
pośrednictwem Internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.
8. Zakazuje się uczestnictwa w tzw. łańcuszkach szczęścia.
9. Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie suge-
ruje związku z wypełnianymi przez nich obowiązkami służbowymi.
10. Użytkownicy nie powinni uruchamiać wykonywalnych załączników dołączonych do wiado-
mości przesyłanych pocztą elektroniczną.
11. Użycie systemów teleinformatycznych i zasobów systemowych Pracodawcy dla własnych
celów komercyjnych jest zakazane.
12. Zakazane jest wygłaszanie prywatnych opinii jako oficjalnego stanowiska Pracodawcy.
13. W przypadku przesyłania plików danych osobowych do podmiotów zewnętrznych Użytkow-
nik zobowiązany jest do ich spakowania i opatrzenia silnym hasłem (duże i małe litery i cyfry lub
znaki specjalne). Hasło należy przesłać odrębnym e-mailem.
14. Cała korespondencja wpływająca na służbową skrzynkę jest korespondencją służbową.
32
SERWIS ZOZ .PL
ZARZĄDZANIE W OCHRONIE ZDROWIA
nielimitowany dostęp
wideoporady do 6000 porad ekspertów
naszych ekspertów
aktualne informacje
o zmianach
w przepisach
i alert prawny
800 wzorów
dokumentów
3 pytania
do eksperta
na e-mail w każdym
miesiącu
co miesiąc
1BV0135