Przejdź do menu głównego Przejdź do menu dodatkowego Przejdź do treści Mapa serwisu

Konsorcjum Dolnośląskich Szpitali Powiatowych

Stan alarmowy CHARLIE-CRP. Rekomendacje Centrum e-Zdrowia dla jednostek ochrony zdrowia

W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP na terenie całego kraju Centrum e-Zdrowia wydało rekomendacje dla jednostek ochrony zdrowia.

Rekomendacja

W związku z ogłoszeniem stanu alarmowego CHARLIE-CRP na terenie całego kraju Centrum e-Zdrowia rekomenduje:

  • Każda jednostka ochrony zdrowia powinna posiadać linię telefoniczną typu PSTN. Linia tego typu powinna być doprowadzona do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania jednostki w sytuacjach kryzysowych. Linia musi być odporna na brak zasilania w jednostce.
  • Przygotowanie procedur i zespołów odpowiedzialnych za ciągłość pracy systemów informatycznych oraz procedur dotyczących awaryjnego gaszenia i uruchamiania systemów informatycznych.
  • Wykonanie przeglądu stosowanych polityk wykonywania kopii zapasowych obejmujących: system obsługi „części białej”, w którym są gromadzone dane medyczne, system kadrowo-płacowy i finansowo-księgowy, inne, krytyczne dla jednostki ochrony zdrowia systemy z punktu widzenia ciągłości działania.
  • Ze względu na możliwość cyberataku kopie zapasowe systemów medycznych i danych medycznych muszą być wykonywane na bieżąco. Po wykonaniu kopii nośniki należy separować od sieci teleinformatycznej. Kopie muszą być wykonywane w trybie dobowym, jako kopie pełne lub przyrostowe z zachowaniem ostatniej pełnej kopii danych.

Rekomendacje dla zabezpieczenia transmisji danych:

  • ograniczenie dostępów zdalnych za pomocą protokołu RDP, SSH – w szczególności z zewnątrz organizacji,
  • szyfrowanie ruchu protokołem SSL,
  • wykorzystywanie sieci VPN do połączeń zdalnych.

Szczegółowa rekomendacja

Rekomendacje w zakresie kopii bezpieczeństwa dla służb informatycznych:

  • Wykonanie przeglądu czy system kopii zapasowych działa prawidłowo i czy wykonuje swoje zadanie zgodnie z zadanym harmonogramem.
  • Wykonywanie kopii bezpieczeństwa zgodnie z harmonogramem raz dziennie kopia różnicowa lub przyrostowa oraz raz w tygodniu pełna kopia.
  • Weryfikację czy wykonane kopie zapasowe faktycznie pozwolą na odtworzenie całych systemów wraz z danymi i konfiguracją.
  • Wykonywane kopie zapasowe nie mogą być podłączone jako zasób sieciowy jako jedyny zasób.
  • Wykonanie testów odtworzenia systemów w izolowanym środowisku. Działanie takie powinno odbywać się cyklicznie.
  • Stosowanie strategii 3-2-1: należy przechowywać co najmniej 3 kopie zapasowe, co najmniej 2 z nich powinny być przechowywane na różnych nośnikach, co najmniej 1 z nich powinna być odizolowana od pozostałych oraz sieci lokalnej (odmiejscowienie).
  • Przygotowanie planu działania na scenariusz utraty systemu kopii zapasowych razem z kopiami – powołanie nowej maszyny, instalacja OS oraz systemu kopii, wgranie kopii konfiguracji systemu kopii, podłączenie kopii zapasowych.
  • System kopii zapasowych powinien być w dedykowanej podsieci.
  • Przepuszczony ruch pomiędzy hostami i systemem kopii powinien być minimalny, niezbędny – określone porty.
  • System kopii powinien działań na dedykowanych kontach bez praw administratora domenowego.
  • Systemem kopii zapasowych objęte powinny być systemy niezbędne dla zachowania ciągłości działania podmiotu oraz systemy przetwarzająca dane osobowe i wrażliwe.

Biorąc pod uwag trwającą pandemię należy mieć na uwadze, że priorytetem jest zachowanie ciągłości działania oraz świadczenia usług.

Źródło: Centrum e-Zdrowia