Rozvoj governance a úrovne IKB v NAW

Nemocnica Alexandra Wintera n.o. vznikla dňa 01.01.2003 zo zákona č.13/2002 Z.z. a zákona č.213/97 Z.z.:, pričom jej zakladateľmi sú Slovenská republika, ministerstvo zdravotníctva Slovenskej republiky a Nemocnica s poliklinikou Piešťany – štátna príspevková organizácia. Nemocnica Alexandra Wintera n.o. Piešťany je zapísaná v registri verejnoprospešných organizácií, vedenom na Krajský úrad Trnava, odbor všeobecnej vnútornej správy, číslo VVS/NO - 13/2003 zo dňa 31.12.2002. (ďalej len „NEMOCNICA“)

NEMOCNICA je zapísaná do registra prevádzkovateľov základnej služby ako poskytovateľ zdravotnej starostlivosti a musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti.

Na základe výsledkov realizovaného auditu kybernetickej bezpečnosti prevádzkovateľa základnej služby boli identifikované, klasifikované a kategorizované informačné aktíva súvisiace s poskytovaním základnej služby, ako aj posúdený ich súlad s plnením povinností vyplývajúce zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti. Nakoľko NEMOCNICA nemá zavadené procesy kybernetickej bezpečnosti (KyB) len identifikované neakceptovateľné riziká je nevyhnutné pristúpiť k ich postupnému eliminovaniu.

Je preto potreba prijať ďalšie organizačné, personálne, ale hlavne technické bezpečnostné opatrenia k pokrytiu vyplývajúce zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti. Práve prostredníctvom predkladaného projektu môže NEMOCNICA primárne oblasti rizík eliminovať a nasadiť aktivity, ktoré umožnia pristúpiť k riadeniu bezpečnostných rizík. Prevádzkovateľ nemá zavedenú dokumentačnú a základnú procesnú časť v zmysle ZoKB a ZoITVS a na zabezpečenie udržateľnosti a dotiahnutie procesov kybernetickej a informačnej bezpečnosti potrebuje vykonať potrebné analytické činnosti, implementovať potrebné nástroje, vypracovať detailné dokumenty a nastaviť ďalšie procesy. Vzhľadom na finančné možnosti Prevádzkovateľa sa tento projekt javí ako jediná možnosť ako môže NEMOCNICA v najbližších rokoch získať potrebné nástroje a zaviesť procesy pre zabezpečenie súladu so zákonmi.

Projekt bude realizovaný s cieľom vykonať potrebné analytické činnosti, implementovať nevyhnutnú ochranu pred hrozbami v oblasti informačnej a kybernetickej bezpečnosti a vypracovať dokumenty a nastaviť ďalšie procesy riadenia informačnej bezpečnosti.

Výsledkom realizácie projektu bude dokumentácia v rozsahu mapovanie IT aktív a ich vlastníkov, klasifikácia informácií a kategorizácia sietí informačných systémov, analýza rizík a návrh nápravných opatrení, vypracovanie smerníc pre informačnú bezpečnosť a riadenie IT aktív a stratégie kybernetickej bezpečnosti a implementácia smerníc a predpisov do pracovných procesov. Zavedenie funkcie manažéra kybernetickej bezpečnosti formou externej služby v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti so zohľadňovaním na požiadavky Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe , normy ISO 27001 a NIST CSF. Ďalej zavedené technické zabezpečenie najmä v oblastiach aktívnej ochrany perimetra sieťovou bránou – firewall, segmentáciou siete, ako aj implementáciou  multifaktorového overovania prístupov (2FA) a nasadenie centralizovaného integrovaného sieťového bezpečnostného nástroja do prevádzky pred kybernetickými hrozbami a nežiadúcimi následkami.

Hlavnými výsledkami projektu sú:

• analytické a dokumentačné služby na základe Zákona 69/2018 Z. z. o kybernetickej

bezpečnosti vrátane zavedenie služieb manažéra kybernetickej bezpečnosti,

• ochrana perimetra - sieťová brána,
• segmentácia LAN sieťovej vrstvy,
• softvérové multifaktorové overovania prístupov (2FA),
• nasadenie centralizovaného integrovaného sieťového bezpečnostného nástroja.

10/2022

09/2023

Hlavné aktivity :

•             Analýza a Dizajn

•             Nákup technických prostriedkov, programových prostriedkov a služieb

•             Implementácia a Testovanie

•             Nasadenie

Podporné aktivity:

Podporná aktivita - Riadenie projektu: projektový tím

Podporná aktivita - Publicita a informovanosť:

• plagát v sídle nemocnice na viditeľnom mieste
• informácie o projekte na webovej stránke nemocnice a na sociálnych sieťach

Prevádzková a technická udržateľnosť výstupov projektu počas celého obdobia udržateľnosti bude zabezpečená zo strany NEMOCNICE v súlade s platnou slovenskou legislatívou, vrátane súladu s nariadeniami EÚ. Finančné krytie prevádzky projektu počas celej doby referenčného obdobia bude zabezpečovať NEMOCNICA zo svojho rozpočtu.

Popis projektu je podrobnejšie popísaný  v prílohe č. 10 výzvy s názvom Deklarácia súladu NAWPN, bod a Popis projektu.