Pakiet usług IT dla Operatorów Usług Kluczowych (OUK)

Usługa ESKOM ma na celu wsparcie oraz częściowe przejęcie obowiązków nakładanych rozporządzeniem na OUK. Zasadniczym zadaniem usługi jest przygotowanie organizacji do umiejętnego rozpoznawania, zapobiegania i wykrywania zagrożeń godzących w obszar cyberbezpieczeństwa oraz bezpieczeństwa danych osobowych. Dzięki wieloletniemu doświadczeniu, wdrożonym normom ISO 27001 oraz 9001, nasz zespół wesprze Państwa zapewniając odpowiednie procedury, infrastrukturę oraz zasoby, które w razie wystąpienia incydentu umożliwią ciągłość funkcjonowania organizacji, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.

Skontaktuj się z nami!

Nie jesteś pewny, czy to usługa dla Ciebie? Nasi inżynierowie IT z chęcią udzielą Ci odpowiedzi na wszelkie pytania, podpowiedzą najelpsze rozwiązanie!

Wyślij zapytanie

Do kogo kierowana jest usługa

Oferta skierowana do szpitali, zakładów opieki zdrowotnej (ZOZ) oraz innych podmiotów wyznaczonych, przez Radę Ministrów na mocy rozporządzenia z dnia 11 września 2018 roku, jako OUK.

Operatorem Usługi Kluczowej (OUK) jest podmiot, prywatny lub publiczny, który świadczy usługi kluczowe, usługi te są zależne od systemów informacyjnych, a ewentualny incydent w tym podmiocie miałby istotny skutek zakłócający dla świadczenia tej usługi. Obowiązki dla OUK zostały zdefiniowane w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC).

Wdrożenie usługi i przygotowanie do audytu

Faza 1

Powinna odbyć się w ciągu 3 miesięcy od wskazania podmiotu jako OUK. Eksperci ESKOM przeprowadzają wykonują identyfikację ryzyk prowadzonej działalności kluczowej w kontekście ustawy KSC. Działania z zakresu identyfikacji ryzyka przeprowadza się zgodnie z metodologią ISO 27001 i ISO 31000. Drugim ważnym aspektem analizy ryzyka jest identyfikacja i wytypowanie procesów biznesowych oraz zasobów informacyjnych. Ryzyko identyfikowane jest w kontekście poszczególnych zasobów, a audytorzy opracowują listę krytycznych procesów biznesowych szpitala. Pracownicy sporządzają listę ryzyk i oceniają wpływ ryzyka na prowadzenie biznesu. Ważnym aspektem tej fazy wdrożenia jest oszacowanie prawdopodobieństwa wystąpienia i wagi poszczególnych ryzyk.

Faza 2

Dokonujemy wdrożenia zmian, które zidentyfikowaliśmy w Fazie I. Przygotowujemy risk treatment plan zgodnie z ISO 27001 i ISO 31000. Monitorowanie podatności, polegające na instalacji w placówce medycznej skanera podatności, zawierającego monitoring zasobów. Korzystamy z oprogramowania Snort, OpenVAS, OCS Inventory. Sporządzenie dokumentacji wraz z wdrożeniem.

Faza 3

Audyt bezpieczeństwa, polegający na ilościowej i jakościowej ocenie systemu bezpieczeństwa wdrożonego w szpitalu. Audyt bezpieczeństwa przeprowadza się co dwa lata, a jego zakres pokrywa się z audytem ISO 27001, ISO 22301, ISO 20000. Audyt wykonywany jest przez audytora ISO 27001 i inżyniera bezpieczeństwa, co daje gwarancję działania zgodnie ze standardami i ustawą.

Jakie obowiązki musi realizować OUK

Każdy OUK ma obowiązek prowadzenia stałego szacowania ryzyka dla swoich usług kluczowych i zarządzania incydentami.
Zobowiązany jest do wyznaczenia osoby kontaktowej z właściwym CSIRT.
Podmioty lecznicze dodatkowo zobowiązane są prowadzić działania edukacyjne do pracowników związane z przetwarzaniem danych i bezpieczeństwem / procedurami IT.
Musi mieć opracowane procedury na wypadek incydentów bezpieczeństwa, prowadzić stały monitoring tych działań, a także dokumentację.
Posiadać wdrożone rozwiązania technologiczne (infrastrukturę IT) niezbędną do zapewnienia kluczowych usług na odpowiednim poziomie bezpieczeństwa.
Co rok przeprowadzać regularne audyty, których wyniki raportowane są do wskazanego CSIRT.

Dlaczego warto zlecić nam obsługę zadań związanych z CSIRT

Najwyższe standardy inżynierskie ISO 27001, 22301, 20000

Przeprowadzony przez nas audyt pozwoli na na określenie przyczyn wystąpienia ryzyka. Wykonywany jest przez profesjonalnego audytora ISO 27001, ISO 22301, ISO 20000.

Eliminacja ryzyka kar lub dodatkowych kosztów

Podjęte przez nas działania wyeliminują ryzyko powstania potencjalnych kosztów wynikających z kar nakładanych przez organy państwowe na szpital lub inną jednostkę za niewdrożenie procedur i nieodpowiedni stan bezpieczeństwa IT.

Kompleksowy plan działania w przypadku sytuacji kryzysowej

Szpital otrzyma od ESKOM kompleksowy plan postępowania z ryzykiem, a wszystkie zalecenia zostaną uzupełnione o rekomendacje dzięki którym podmiot będzie przygotowany przygotowany na sytuację kryzysową i wyposażony w zestaw skutecznych narzędzi IT, pozwalające na usunięcie awarii systemu, ochronę przed atakiem hakerskim.

Mniejsze obciążenie zasobów ludzkich po stronie OUK

Dedykowana po stronie ESKOM osoba kontaktowa, która kontaktować się będzie z CSIRT NASK zastępując pracownika np. szpitala w czynnościach wymaganych ustawowo.

Opracowane materiały edukacyjne dla pracowników gotowe do wdrożenia

W ramach tego etapu przeprowadzimy wszystkie niezbędne szkolenia, które będą zawierać niezbędną wiedzę dla pracowników szpitali z zakresu obowiązków dla OUK.

Pełna wymagana przez organy państwowe dokumentacja

Zwieńczeniem procesu będzie przygotowanie pełnej dokumentacji wymaganej przez organy Państwowe.

Odpowiemy na Twoje pytania dotyczące IT

W trakcie bezpłatnej konsultacji możesz omówić dowolny temat związany z obszarem naszych usług lub produktów! Zawsze umawiamy dogodny dla obu stron termin i dbamy o najwyższy poziom udzielanych odpowiedzi. Oddzwonimy do Ciebie maksymalnie do końca następnego dnia roboczego.

Wyrażam zgodę na kontakt telefoniczny w celu przeprowadzenia bezpłatnej konsultacji (pełna treść klauzuli informacyjnej)

Wyrażam zgodę na otrzymywanie od ESKOM drogą elektroniczną informacji handlowych dotyczących produktów i usług (pełna treść klauzuli informacyjnej)