Projekt Posílení kybernetické bezpečnosti resortní infrastruktury, registrační číslo CZ.31.2.0/0.0/0.0/22_028/0007714, byl realizován v rámci Národního plánu obnovy za účelem celkového zvýšení úrovně kybernetické bezpečnosti v resortu Ministerstva zdravotnictví České republiky.
Hlavním cílem projektu bylo posílit schopnost resortu systematicky řídit kybernetickou bezpečnost, chránit informační a komunikační systémy, zavádět formalizované bezpečnostní postupy v souladu s platnou legislativou a zvyšovat bezpečnostní povědomí zaměstnanců i dalších zapojených subjektů. Projekt reagoval na rostoucí význam kybernetické bezpečnosti ve zdravotnictví, na zvyšující se míru kybernetických hrozeb a současně na potřebu sjednocení přístupů k řízení bezpečnosti v rámci resortní infrastruktury.
Realizace projektu byla zaměřena nejen na vytvoření potřebných koncepčních, metodických a dokumentačních výstupů, ale také na praktickou podporu organizací zapojených do resortního prostředí. Součástí projektu byly aktivity směřující k mapování aktiv a procesů, zavádění systému řízení bezpečnosti, přípravě a implementaci bezpečnostní dokumentace, zvyšování bezpečnostního povědomí, odborným konzultacím, analýzám a dalším činnostem podporujícím naplňování požadavků v oblasti kybernetické bezpečnosti.
Projekt tak vytvořil významný základ pro dlouhodobé, koordinované a legislativně ukotvené řízení kybernetické bezpečnosti v resortu Ministerstva zdravotnictví. Jeho přínosem je zejména posílení organizačních, procesních a metodických předpokladů pro ochranu klíčových informačních systémů a služeb, zvýšení připravenosti zapojených organizací na plnění regulatorních povinností a sjednocení postupů v oblasti kybernetické bezpečnosti napříč resortní infrastrukturou.
Jednotlivé části projektu:
Dodání mapování aktiv, analýzy rizik, dokumentace dle ISMS/nZoKB a generické dokumentace
Tato část projektu byla zaměřena na vytvoření základních předpokladů pro systematické řízení kybernetické bezpečnosti v resortu Ministerstva zdravotnictví. Jejím hlavním účelem bylo podpořit Ministerstvo zdravotnictví ČR, Ústav zdravotnických informací a statistiky ČR, vybranou krajskou hygienickou stanici a vybraného poskytovatele zdravotních služeb při přípravě na plnění požadavků vyplývajících z nové právní úpravy kybernetické bezpečnosti a souvisejících prováděcích předpisů. Současně byla tato část zaměřena také na sladění dokumentace a procesů s požadavky mezinárodní normy ISO/IEC 27001:2022, zejména u MZ a ÚZIS.
V rámci této části projektu bylo realizováno zejména mapování primárních a podpůrných aktiv, hodnocení kybernetických rizik, zpracování a aktualizace bezpečnostní dokumentace, vytvoření generické dokumentace pro další organizace resortu a příprava vybraných technických standardů kybernetické bezpečnosti. Dokumentace měla být zpracována tak, aby byla prakticky použitelná, přizpůsobitelná různým typům organizací a dlouhodobě udržitelná při řízení bezpečnosti informací.
Zvyšování bezpečnostního povědomí
Tato část projektu byla zaměřena na zvyšování bezpečnostního povědomí v celém resortu Ministerstva zdravotnictví ČR prostřednictvím komplexního vzdělávacího programu. Program byl koncipován tak, aby pokrýval nejen oblast kybernetické bezpečnosti, ale také oblast ochrany osobních údajů a specificky ochrany osobních údajů v prostředí elektronického zdravotnictví. Cílem bylo vytvořit vzdělávací obsah využitelný pro různé skupiny uživatelů v resortu zdravotnictví, a to formou online kurzů, tisknutelných materiálů a dalších podpůrných vzdělávacích výstupů.
Projekt reagoval na rostoucí význam lidského faktoru v oblasti kybernetické bezpečnosti. Zdravotnictví patří mezi sektory, které pracují s mimořádně citlivými informacemi a zároveň čelí zvýšenému riziku kybernetických útoků, sociálního inženýrství, phishingu, malwaru a dalších forem ohrožení. Proto bylo nezbytné vytvořit systematický vzdělávací program, který uživatelům srozumitelnou a praktickou formou předá zásady bezpečného chování, ochrany dat a správné reakce na bezpečnostní události nebo incidenty.
Aktualizace směrnic, metodik a pracovních postupů pro ochranu osobních údajů
Tato část projektu byla zaměřena na prověření, aktualizaci a harmonizaci dokumentace, metodik a pracovních postupů v oblasti ochrany osobních údajů pro Ministerstvo zdravotnictví ČR a Ústav zdravotnických informací a statistiky ČR. Cílem bylo zajistit soulad nastavených procesů a dokumentace s požadavky Nařízení Evropského parlamentu a Rady č. 2016/679, tedy GDPR, se zákonem č. 110/2019 Sb., o zpracování osobních údajů, a současně s požadavky normy ISO 27701:2019, která rozšiřuje systém řízení bezpečnosti informací o oblast řízení ochrany soukromí.
Projekt navazoval na již existující dokumentaci v oblasti ochrany osobních údajů a na skutečnost, že Objednatel získal dne 16. 12. 2019 certifikaci ISO 27701 v rámci auditu k GDPR. Smyslem této části bylo ověřit aktuálnost a dostatečnost stávajících směrnic, metodik a pracovních postupů, zohlednit nové právní, metodické a technologické požadavky a připravit dokumentaci tak, aby byla využitelná i pro potřeby další certifikace podle ISO 27701:2019.
Dodání penetračních testů a testů zranitelnosti
Tato část projektu byla zaměřena na vybudování technologické, metodické a procesní připravenosti Ministerstva zdravotnictví ČR a ÚZIS ČR pro provádění penetračních testů a testů zranitelností. Hlavním cílem nebylo pouze jednorázové provedení bezpečnostních testů, ale především vytvoření dlouhodobě využitelného rámce, který umožní Objednateli a ÚZIS provádět vybrané typy testování také vlastními interními kapacitami.
Projekt reagoval na potřebu pravidelně ověřovat odolnost informačních systémů, aplikací, webových služeb a infrastrukturního prostředí vůči kybernetickým hrozbám. Součástí bylo nastavení vnitřních procesů, příprava metodik, vytvoření interních předpisů, doporučení a implementace vhodných open source nástrojů, provedení ukázkových penetračních testů a testů zranitelností a následné vypořádání zjištěných nálezů.¨
