audyt bezpieczeństwa nfz

Audyt dla NFZ – jak stwierdzić podniesienie poziomu bezpieczeństwa?

Koniec roku to w branży cyberbezpieczeństwa zawsze gorący okres. Z moich obserwacji wynika, że znaczna część firm trzyma do ostatniej chwili rezerwy budżetu na wypadek pojawienia się jakichś nieprzewidzianych, awaryjnych sytuacji. Jeśli te się nie pojawią, to w grudniu wszyscy rzucają się do zakupu szkoleń i audytów by wykorzystać budżet do ostatniej złotówki. Powoduje to problemy z dostępnością specjalistów, o których i w normalnych warunkach nie jest łatwo.

Dofinansowanie cyberbezpieczeństwa przez NFZ

W tym roku problem z dostępnością specjalistów jest jeszcze większy. Wynika to z kończącego się właśnie projektu finansowania wydatków związanych z cyberbezpieczeństwem w służbie zdrowia. NFZ zwraca placówkom leczniczym, z którymi zawarł umowy na świadczenie usług, nawet do 900 tys. zł wydatków poniesionych na podniesienie poziomu cyberbezpieczeństwa. Jest jednak jeden warunek.

Audyt bezpieczeństwa dla NFZ

Aby wnioskować o zwrot środków poniesionych na wydatki związane z cyberbezpieczeństwem, placówka zdrowia musi przed 16 grudnia wykonać audyt. Audyt bezpieczeństwa musi jasno i wyraźnie stwierdzić, że wdrożone w placówce rozwiązania wpłynęły na poprawę poziomu bezpieczeństwa. Jakiego typu audyt powinniśmy w takiej sytuacji wykonać? Na blogu opisywałem już wiele typów audytów i zwracałem uwagę na różnice pomiędzy nimi:

Żaden z powyższych audytów nie nadaje się jednak bezpośrednio do tego by stwierdzić, że poniesione wydatki wpłynęły pozytywnie na poprawę bezpieczeństwa. Wynika to z różnego charakteru zabezpieczeń, które mogły zostać wdrożone w placówce (organizacyjne lub techniczne) oraz poziomu bezpieczeństwa w punkcie wyjścia, z którym musimy dokonać porównania.

Najbliższy potrzebom projektu będzie w tym wypadku audyt bezpieczeństwa informacji zrealizowany w dwóch etapach – przed oraz po przeprowadzeniu prac wdrożeniowych. Pierwszy z etapów realizowany jest w ramach projektu samodzielnie, w oparciu o przygotowaną przez NFZ ankietę. W ankiecie tej placówki zdrowia oceniają stan własnego systemu zarządzania bezpieczeństwem informacji.

Co powinien zawierać audyt bezpieczeństwa dla NFZ?

Zgodnie z rozporządzeniem celem audytu jest stwierdzenie, że poziom bezpieczeństwa został w wyniku wdrożenia podniesiony. Powinniśmy zatem dokonać analizy ryzyka w oparciu o ankietę z punktu wyjścia (przed wdrożeniem), a w analizie tej wskazać słabe obszary, które stwarzają największe zagrożenie dla bezpieczeństwa informacji oraz oszacować związane z nimi ryzyko. Na tej podstawie powinna zostać podjęta decyzja o wdrożeniu konkretnych rozwiązań.

Po zakończeniu prac wdrożeniowych ponownie powinniśmy przeprowadzić analizę ryzyka z uwzględnieniem wprowadzonych zabezpieczeń. Z analizy tej powinno wynikać, że wartość zidentyfikowanych wcześniej ryzyk została obniżona, a co za tym idzie poziom bezpieczeństwa wzrósł.

Kto może wykonać audyt bezpieczeństwa dla NFZ?

Zarządzenie nr 117/2022/BBIICD Prezesa Narodowego Funduszu Zdrowia jasno definiuje kryteria wykonania audytu:

Wymagania dotyczące audytu bezpieczeństwa

  1. Audyt bezpieczeństwa, o którym mowa w niniejszym zarządzeniu może być przeprowadzony przez:
    1. jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 5), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;
    2. co najmniej dwóch audytorów posiadających:
      • certyfikaty określone w poniższym wykazie certyfikatów uprawiających do przeprowadzenia audytu lub
      • co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
      • co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.
  2. Wykaz certyfikatów uprawniających do przeprowadzenia audytu:
    1. Certified Internal Auditor (CIA);
    2. Certified Information System Auditor (CISA);
    3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność;
    4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność;
    5. Certified Information Security Manager (CISM);
    6. Certified in Risk and Information Systems Control (CRISC);
    7. Certified in the Governance of Enterprise IT (CGEIT);
    8. Certified Information Systems Security Professional (CISSP);
    9. Systems Security Certified Practitioner (SSCP);
    10. Certified ReliaDzibility Professional;
    11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
  3. Celem audytu jest wykazanie przez świadczeniodawcę podniesienia poziomu bezpieczeństwa
    teleinformatycznego po zrealizowaniu czynności, zgodnie z niniejszym zarządzeniem oraz w odniesieniu do stanu na dzień przeprowadzenia badania poziomu dojrzałości cyberbezpieczeństwa u świadczeniodawcy w formie ankiety
    . Przeprowadzony audyt wykaże podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z ankiety lub jego brak. Raport musi zawierać jasne stanowisko audytora w zakresie wykazania, że spożytkowane środki wpłynęły na podniesienie poziomu bezpieczeństwa.

Działania skutkujące podniesieniem poziomu bezpieczeństwa

We wspomnianym wyżej zarządzeniu zawarty został również wykaz działań, które można uznać za skutkujące podniesieniem poziomu bezpieczeństwa. Należą do nich:

Nazwa obszaru:Opis działań skutkujących podniesieniem poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców
Skuteczność działania infrastruktury– Urządzenia i konfiguracja w zakresie ochrony poczty
– Urządzenia i konfiguracja w zakresie ochrony sieci
– Urządzenia i konfiguracja w zakresie systemów serwerowych
– Urządzenia i konfiguracja w zakresie stacji roboczych
– Urządzenia i konfiguracja w zakresie systemów bezpieczeństwa
Procesy zarządzania bezpieczeństwem informacji– Nośniki wymienne – udokumentowany sposób postępowania
– Zarządzanie tożsamością / dostęp do systemów w zakresie:
— Przydzielanie dostępu
— Odbieranie dostępu
– Pomieszczenie w dyspozycji struktur zespołu odpowiedzialnego
za cyberbezpieczeństwo w przypadku podmiotów, które otrzymały decyzję uznającą taki podmiot za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa
Monitorowanie i reagowanie na incydenty bezpieczeństwa– Procedury zarządzania incydentami
– Raportowanie poziomów pokrycia scenariuszami znanych incydentów
– Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa
– Monitorowanie i wykrycie incydentów bezpieczeństwa
– Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów
Zarządzanie ciągłością działania– Konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa
– Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa
– Procedury wykonywania i przechowywania kopii zapasowych
– Strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP)
– Procedury utrzymaniowe
Utrzymanie systemów
informacyjnych
– Harmonogramy skanowania podatności
– Aktualny status realizacji postępowania z podatnościami
– Procedury związane z identyfikowaniem (wykryciem) podatności
– Współpraca z osobami odpowiedzialnymi za procesy zarządzania
incydentami
Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług– Polityka bezpieczeństwa w relacjach z dostawcami
– Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa
– Dostęp zdalny
– Metody uwierzytelnienia
wykaz działań podnoszących poziom bezpieczeństwa z zarządzenia Prezesa NFZ

Niby wszystko jasne, ale…

Teoretycznie sprawa wydaje się prosta. Jednak zamieszczona powyżej tabela z wykazem działań skutkujących podniesieniem poziomu bezpieczeństwa umieszczona została w załączniku z wymaganiami dotyczącymi audytu. Nie opatrzono jej nawet słowem komentarza. Można więc założyć, że są to pewne wytyczne dla audytorów wskazujące jakie działania są dla NFZ podstawą do stwierdzenia, że poziom bezpieczeństwa się zwiększył.

Tymczasem w treści głównego zarządzenia nr 68/2022/BBIICD (to wcześniej cytowane było jedynie aktualizacją) pojawiły się następujące warunki udzielenia finansowania:

  1. Finansowaniem, o którym mowa w § 1, w okresie do dnia 31 grudnia 2022 r., są objęte działania podnoszące poziom bezpieczeństwa systemów teleinformatycznych świadczeniodawców, z zastrzeżeniem ust. 2, i polegające na wykonaniu co najmniej jednej z następujących czynności:
    1. zakup i wdrożenie systemów teleinformatycznych, w tym urządzeń, oprogramowania i usług zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa, w szczególności:
      • a) systemów kopii bezpieczeństwa, odmiejscowienia kopii, segmentacji w celu odseparowania urządzeń backupu, zapewnienia mechanizmów weryfikacji poprawności i odtwarzalności kopii i backupu,
      • b) systemów antywirusowych dla stacji roboczych i serwerów – centralnie zarządzanych, systemów klasy Endpoint Detection and Response (EDR),
      • c) systemów kontroli dostępu administracyjnego, zarządzania uprawnieniami (IAM/IDM),
      • d) urządzeń i oprogramowania typu firewall – zapora sieciowa z wbudowanym IPS oraz systemem antywirusowym oraz platform niezbędnych do ich uruchomienia,
      • e) systemów zapewniających bezpieczny system poczty elektronicznej, włączając w to systemy weryfikacji załączników i treści korespondencji oraz systemy wieloskładnikowego uwierzytelniania,
      • f) rozwiązań zapewniających ochronę DNS (DNS Protection) z użyciem systemów lokalnych (licencja oraz wsparcie w okresie do dnia 31 grudnia 2022 r.),
      • g) systemu typu SIEM,
      • h) systemu typu NAC – jako system lokalny;
    2. zakup usługi wdrożenia i konfiguracji urządzeń i oprogramowania, o których mowa w pkt 1, oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa przez okres do dnia 31 grudnia 2022 r.;
    3. zakup i wdrożenie systemu (usługi) typu SOC – przez okres do dnia 31 grudnia 2022 r.;
    4. zakup usługi skanów podatności, w zakresie sprecyzowanym w materiale referencyjnym „Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia”, opublikowanym na stronie internetowej Centrum e-Zdrowia, przez okres do dnia 31 grudnia 2022 r.;
    5. zakup opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r. poz. 655) – jeśli dotyczy świadczeniodawcy będącego operatorem usługi kluczowej, o którym mowa w art. 5 tej ustawy, w tym planu odtworzenia po awarii;
    6. zakup szkolenia lub szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej świadczeniodawcą oraz osób zatrudnionych u świadczeniodawcy w zakresie podstawowej świadomości bezpieczeństwa IT, w tym:
      • a) ochrony przed zaawansowanymi atakami przez pocztę i WWW,
      • b) tworzenia i zarządzania polityką haseł i tożsamości,
      • c) zarządzania ryzykiem, dokumentacją i polityką bezpieczeństwa w jednostkach publicznych w świetle rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247),
      • d) wykonywania kopii zapasowych oraz tworzenia i utrzymania polityki ciągłości działania
  2. Czynności, o których mowa w ust. 1, mogą zostać objęte finansowaniem wyłącznie w przypadku wykazania przez świadczeniodawcę, wynikiem audytu bezpieczeństwa, zwiększenia poziomu bezpieczeństwa systemów teleinformatycznych wykorzystywanych do udzielania świadczeń opieki zdrowotnej.
  3. Fundusz dokona weryfikacji zmian poziomu bezpieczeństwa teleinformatycznego świadczeniodawcy na podstawie wypełnionej i złożonej przez niego, przed przystąpieniem do czynności, o których mowa w ust. 1, wynikających z niniejszego zarządzenia, ankiety badającej poziom bezpieczeństwa systemów teleinformatycznych tego świadczeniodawcy, o której mowa w ust. 5, oraz wyniku audytu bezpieczeństwa potwierdzającego zwiększenie poziomu bezpieczeństwa teleinformatycznego u świadczeniodawcy. Ankieta powinna być złożona wraz z wnioskiem o zawarcie umowy zgodnie z ust. 8.

W powyższym wykazie wydatków podlegających finansowaniu mamy zatem np. zakup szkoleń, dokumentacji systemu zarządzania bezpieczeństwem informacji lub usług skanowania podatności, których nie znajdziemy na liście działań skutkujących podniesieniem poziomu bezpieczeństwa (cytowana wcześniej tabela z załącznika).

Jak zatem podejść do audytu bezpieczeństwa dla NFZ?

Szanujący się audytor powinien oczywiście uznać, że działania takie jak zakup szkoleń, polityk bezpieczeństwa czy usług skanowania podatności mają pozytywny wpływ na bezpieczeństwo. W końcu to, czy do poprawy bezpieczeństwa doszło nie zależy od opinii NFZ-tu, a od czynników obiektywnych, których występowanie da się udowodnić.

Warto więc zadbać o udokumentowanie odpowiednich działań. W mojej opinii powinny się one składać z następujących kroków:

  • analiza ankiety badającej poziom bezpieczeństwa przed wdrożeniem
  • identyfikacja ryzyk wynikających z ankiety (analiza ryzyka)
  • analiza zasadności wybranych zabezpieczeń (czy są prawidłową odpowiedzią na zidentyfikowane ryzyka)
  • analiza skuteczności zabezpieczeń (czy zostały wdrożone prawidłowo i spełniają swoją funkcję)
  • ponowna analiza ryzyka wykazująca obniżenie jego poziomu

Do sporządzonego wg powyższych kroków raportu nikt nie powinien mieć chyba zastrzeżeń. A jeśli by je miał, to na swoją obronę będziemy mieć znane standardy i normy, takie jak chociażby ISO27001.

Audyt bezpieczeństwa NFZ – cena za bałagan

Wspomniałem na wstępie o problemie z dostępnością audytorów pod koniec roku. Taka sytuacja na pewno skutkować będzie wzrostem cen. Co więcej, wpływ na to będzie miał również pewien bałagan, który zaistniał w zarządzeniach NFZ-tu. W pierwotnej wersji dwa z puntów określających wymagane certyfikaty brzmiały następująco:

  • Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
  • Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób

Wytłuszczone powyżej fragmenty powodowały, że za uprawnionych audytorów uchodzili jedynie ci, którzy otrzymali certyfikaty od jednostek akredytowanych przez Polskie Centrum Akredytacji. W połowie roku były to zaledwie dwa podmioty: TÜV NORD oraz DEKRA (we wrześniu dołączył jeszcze IQS CERT). Spora część audytorów na rynku posiadała natomiast certyfikaty wydane np. przez zagraniczne jednostki. W moim przypadku była to BSI GROUP, która jest jedną z najbardziej doświadczonych jednostek certyfikacyjnych na świecie i jednocześnie członkiem-założycielem ISO. Jednostki tego typu akredytowane są przez swoje krajowe centra akredytacji, co w przypadku spójności prawa unijnego nie powinno być problemem. I zapewne to też było powodem usunięcia wytłuszczonych powyżej fragmentów z aktualizacji zarządzenia, która pojawiła się we wrześniu.

Od maja do września wielu audytorów (ja również) poniosło jednak koszty ponownej certyfikacji, co wiązało się nie tylko z utratą funduszy, ale też czasu. Zapłacą za to oczywiście klienci zainteresowani usługą, która wymagała poniesienia tych kosztów. A czy ktoś zapłaci za ten bałagan lub poniesie jego konsekwencje (patrząc na tekst samych rozporządzeń łatwo dojść do wniosku, że były to dokumenty pisane w pośpiechu – świadczy o tym chociażby ilość błędów językowych)?

Wracając jednak do kwestii ceny – z mojego rozpoznania wynika, że mieści się ona w przedziale od kilku do kilkunastu tysięcy złotych. Można się jednak spodziewać, że czym bliżej granicznej daty rozliczania wniosków(16 grudnia) tym ciężej będzie znaleźć wolnych audytorów, a co za tym idzie ceny zaczną rosnąć.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.