Pakiet usług IT dla Operatorów Usług Kluczowych (OUK)

Usługa ESKOM ma na celu wsparcie oraz częściowe przejęcie obowiązków nakładanych rozporządzeniem na OUK. Zasadniczym zadaniem usługi jest przygotowanie organizacji do umiejętnego rozpoznawania, zapobiegania i wykrywania zagrożeń godzących w obszar cyberbezpieczeństwa oraz bezpieczeństwa danych osobowych. Dzięki wieloletniemu doświadczeniu, wdrożonym normom ISO 27001 oraz 9001, nasz zespół wesprze Państwa zapewniając odpowiednie procedury, infrastrukturę oraz zasoby, które w razie wystąpienia incydentu umożliwią ciągłość funkcjonowania organizacji, o których mowa w art. 5b ust. 7 pkt 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.

Do kogo kierowana jest usługa

Szpitale
Zakłady opieki zdrowotnej


Oferta skierowana do szpitali, zakładów opieki zdrowotnej (ZOZ) oraz innych podmiotów wyznaczonych, przez Radę Ministrów na mocy rozporządzenia z dnia 11 września 2018 roku, jako OUK.

Operatorem Usługi Kluczowej (OUK) jest podmiot, prywatny lub publiczny, który świadczy usługi kluczowe, usługi te są zależne od systemów informacyjnych, a ewentualny incydent w tym podmiocie miałby istotny skutek zakłócający dla świadczenia tej usługi. Obowiązki dla OUK zostały zdefiniowane w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC).


Jakie obowiązki musi realizować OUK

  • Każdy OUK ma obowiązek prowadzenia stałego szacowania ryzyka dla swoich usług kluczowych i zarządzania incydentami.
  • Zobowiązany jest do wyznaczenia osoby kontaktowej z właściwym CSIRT.
  • Podmioty lecznicze dodatkowo zobowiązane są prowadzić działania edukacyjne do pracowników związane z przetwarzaniem danych i bezpieczeństwem / procedurami IT.
  • Musi mieć opracowane procedury na wypadek incydentów bezpieczeństwa, prowadzić stały monitoring tych działań, a także dokumentację.
  • Posiadać wdrożone rozwiązania technologiczne (infrastrukturę IT) niezbędną do zapewnienia kluczowych usług na odpowiednim poziomie bezpieczeństwa.
  • Co rok przeprowadzać regularne audyty, których wyniki raportowane są do wskazanego CSIRT.

Operatorzy Usług Kluczowych posiadają liczne obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa. ESKOM przygotował dla nich dedykowany i autorski program wdrożenia składający się z trzech etapów, które realizują wymagania zawarte w ustawie.


Wdrożenie usługi i przygotowanie do audytu

Faza 1

  • Powinna odbyć się w ciągu 3 miesięcy od wskazania podmiotu jako OUK.
  • Eksperci ESKOM przeprowadzają wykonują identyfikację ryzyk prowadzonej działalności kluczowej w kontekście ustawy KSC. Działania z zakresu identyfikacji ryzyka przeprowadza się zgodnie z metodologią ISO 27001 i ISO 31000.
  • Drugim ważnym aspektem analizy ryzyka jest identyfikacja i wytypowanie procesów biznesowych oraz zasobów informacyjnych. Ryzyko identyfikowane jest w kontekście poszczególnych zasobów, a audytorzy opracowują listę krytycznych procesów biznesowych szpitala. Pracownicy sporządzają listę ryzyk i oceniają wpływ ryzyka na prowadzenie biznesu. Ważnym aspektem tej fazy wdrożenia jest oszacowanie prawdopodobieństwa wystąpienia i wagi poszczególnych ryzyk.

Faza 2

  • Dokonujemy wdrożenia zmian, które zidentyfikowaliśmy w Fazie I.
  • Przygotowujemy risk treatment plan zgodnie z ISO 27001 i ISO 31000.
  • Monitorowanie podatności, polegające na instalacji w placówce medycznej skanera podatności, zawierającego monitoring zasobów. Korzystamy z oprogramowania Snort, OpenVAS, OCS Inventory.
  • Sporządzenie dokumentacji wraz z wdrożeniem.

Faza 3

  • Audyt bezpieczeństwa, polegający na ilościowej i jakościowej ocenie systemu bezpieczeństwa wdrożonego w szpitalu.
  • Audyt bezpieczeństwa przeprowadza się co dwa lata, a jego zakres pokrywa się z audytem ISO 27001, ISO 22301, ISO 20000. Audyt wykonywany jest przez audytora ISO 27001 i inżyniera bezpieczeństwa, co daje gwarancję działania zgodnie ze standardami i ustawą.

Dlaczego warto zlecić nam obsługę zadań związanych z CSIRT


Najwyższe standardy inżynierskie ISO 27001, 22301, 20000

Przeprowadzony przez nas audyt pozwoli na na określenie przyczyn wystąpienia ryzyka. Wykonywany jest przez profesjonalnego audytora ISO 27001, ISO 22301, ISO 20000.

Eliminacja ryzyka kar lub dodatkowych kosztów

Podjęte przez nas działania wyeliminują ryzyko powstania potencjalnych kosztów wynikających z kar nakładanych przez organy państwowe na szpital lub inną jednostkę za niewdrożenie procedur i nieodpowiedni stan bezpieczeństwa IT

Kompleksowy plan działania w przypadku sytuacji kryzysowej

Szpital otrzyma od ESKOM kompleksowy plan postępowania z ryzykiem, a wszystkie zalecenia zostaną uzupełnione o rekomendacje dzięki którym podmiot będzie przygotowany przygotowany na sytuację kryzysową i wyposażony w zestaw skutecznych narzędzi IT, pozwalające na usunięcie awarii systemu, ochronę przed atakiem hakerskim.

Mniejsze obciążenie zasobów ludzkich po stronie OUK

Dedykowana po stronie ESKOM osoba kontaktowa, która kontaktować się będzie z CSIRT NASK zastępując pracownika np. szpitala w czynnościach wymaganych ustawowo

Opracowane materiały edukacyjne dla pracowników gotowe do wdrożenia

W ramach tego etapu przeprowadzimy wszystkie niezbędne szkolenia, które będą zawierać niezbędną wiedzę dla pracowników szpitali z zakresu obowiązków dla OUK.

Pełna wymagana przez organy państwowe dokumentacja

Zwieńczeniem procesu będzie przygotowanie pełnej dokumentacji wymaganej przez organy Państwowe


Najwyższa jakość i bezpieczeństwo

150+

Certyfikatów
inżynierskich

24+

Partnerstwa
technologiczne

18+

Lat
doświadczenia