Oto one:
1. Każda jednostka ochrony zdrowia powinna posiadać linię telefoniczną typu PSTN. Linia tego typu powinna być doprowadzona do centrum zarządzania, dyrektora jednostki lub innych osób koordynujących działania jednostki w sytuacjach kryzysowych. Linia musi być odporna na brak zasilania w jednostce.
2. Placówki powinny przygotować procedury i zespoły odpowiedzialne za ciągłość pracy systemów informatycznych oraz procedury dotyczące awaryjnego gaszenia i uruchamiania systemów informatycznych.
3. Należy wykonać przegląd stosowanych polityk wykonywania kopii zapasowych obejmujących:
- system obsługi „części białej”, w którym są gromadzone dane medyczne,
- system kadrowo-płacowy i finansowo-księgowy,
- inne, krytyczne dla jednostki ochrony zdrowia systemy z punktu widzenia ciągłości działania.
Ze względu na możliwość cyberataku kopie zapasowe systemów medycznych i danych medycznych muszą być wykonywane na bieżąco. Po wykonaniu kopii nośniki należy separować od sieci teleinformatycznej. Kopie muszą być wykonywane w trybie dobowym, jako kopie pełne lub przyrostowe z zachowaniem ostatniej pełnej kopii danych.
4. Rekomendacje dla zabezpieczenia transmisji danych:
- ograniczenie dostępów zdalnych za pomocą protokołu RDP, SSH – przede wszystkim z zewnątrz organizacji,
- szyfrowanie ruchu protokołem SSL,
- wykorzystywanie sieci VPN do połączeń zdalnych.
Rekomendacje w zakresie kopii bezpieczeństwa dla służb informatycznych:
1. Wykonanie przeglądu czy system kopii zapasowych działa prawidłowo i czy wykonuje swoje zadanie zgodnie z zadanym harmonogramem.
2. Wykonywanie kopii bezpieczeństwa zgodnie z harmonogramem raz dziennie kopia różnicowa lub przyrostowa oraz raz w tygodniu pełna kopia.
3. Weryfikację, czy wykonane kopie zapasowe faktycznie pozwolą na odtworzenie całych systemów wraz z danymi i konfiguracją.
4. Wykonywane kopie zapasowe nie mogą być podłączone jako zasób sieciowy jako jedyny zasób.
5. Wykonanie testów odtworzenia systemów w izolowanym środowisku. Działanie takie powinno odbywać się cyklicznie.
6. Stosowanie strategii 3-2-1:
- należy przechowywać co najmniej 3 kopie zapasowe,
- co najmniej 2 z nich powinny być przechowywane na różnych nośnikach,
- co najmniej 1 z nich powinna być odizolowana od pozostałych oraz sieci lokalnej (odmiejscowienie).
7. Przygotowanie planu działania na scenariusz utraty systemu kopii zapasowych razem z kopiami – powołanie nowej maszyny, instalacja OS oraz systemu kopii, wgranie kopii konfiguracji systemu kopii, podłączenie kopii zapasowych.
8. System kopii zapasowych powinien być w dedykowanej podsieci. Przepuszczony ruch pomiędzy hostami a systemem kopii powinien być minimalny, niezbędny – określone porty. System kopii powinien działać na dedykowanych kontach bez praw administratora domenowego.
9. Systemem kopii zapasowych objęte powinny być systemy niezbędne do zachowania ciągłości działania podmiotu oraz systemy przetwarzająca dane osobowe i wrażliwe.
/WiedzaiPraktyka
/wip