Finansowanie działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców.
NFZ.2023.8
Akt obowiązującyZARZĄDZENIE Nr 8/2023/BBIICD
PREZESA NARODOWEGO FUNDUSZU ZDROWIA
z dnia 16 stycznia 2023 r.
w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców
Rozdział 1.
Przepisy ogólne
Przepisy ogólne
- na działania dotyczące miejsca lub miejsc, o których mowa w art. 101 ust. 1 pkt 4, art. 102 ust. 1 pkt 4 oraz art. 102a ust. 1 pkt 4 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, a w przypadku podmiotów leczniczych, zakładu leczniczego lub zakładów leczniczych w rozumieniu art. 2 ust. 1 pkt 14 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, prowadzone przez świadczeniodawcę w okresie do dnia 24 listopad 2023 r. 4
Rozdział 2.
Warunki finansowania na podstawie wniosków złożonych w 2023 r.
Warunki finansowania na podstawie wniosków złożonych w 2023 r.
Rozdział 3. 16
Warunki finansowania na podstawie wniosku aktualizacyjnego
Warunki finansowania na podstawie wniosku aktualizacyjnego
Rozdział 3a. 19
Warunki finansowania na podstawie wniosku o dodatkowe finansowanie
Warunki finansowania na podstawie wniosku o dodatkowe finansowanie
Rozdział 4.
Rozliczenie środków na finansowanie
Rozliczenie środków na finansowanie
Rozdział 5.
Przepisy końcowe
Przepisy końcowe
ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 1
Warunki akceptacji
Warunki akceptacji
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu kopii zapasowej, którego wynik potwierdzi utworzenie odmiejscowionej kopii zapasowej i odtworzenie z niej kompletnego systemu oraz wykonanej dokumentacji bezpieczeństwa.
2) Jeśli świadczeniodawca posiada powyższy system, o którym mowa w pkt 1, może w ramach finansowania zrealizować zakup lub rozwój systemów Firewall pozwalający analizować przesyłane pakiety pod względem ich treści wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu bezpieczeństwa sieci.
Kryterium akceptacji:
Efektem wdrożenia musi być wykonanie zewnętrznych skanów podatności, które wykażą brak podatności krytycznych oraz które mogą doprowadzić do incydentu poważnego w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863, z późn. zm.).
Wnioskodawca jest zobowiązany do utwardzania konfiguracji do momentu uzyskania wskazanego efektu. Wyeliminowanie podatności musi być potwierdzone przez audyt bezpieczeństwa.
3) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1 i 2, może w ramach finansowania zakupić system lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa, który będzie obejmował mechanizmy SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu poczty elektronicznej, którego wynik potwierdzi skuteczność wdrożenia SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.
4) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1-3, może w ramach finansowania zrealizować zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera - klient na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu realizacji systemów antywirusowych.
Kryterium akceptacji:
Efektem realizacji musi być przeprowadzenie audytu systemu Endpoint Detection and Response, na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy, który potwierdzi prawidłowość wdrożenia systemu.
Słownik skrótów:
SPF: Sender Policy Framework - niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie liczby wiadomości mailowych będących spamem,
DMARC: (Domain-based Message Authentication Reporting and Conformance) - możliwość ochrony domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail,
DKIM: (DomainKeys Identified Mail) - metoda łączenia domeny internetowej z wiadomością e-mail, która pozwala organizacji brać odpowiedzialność za treść e-maila. Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę z innych domen.
ZAŁĄCZNIK Nr 2
Wymagania dotyczące audytu bezpieczeństwa
Wymagania dotyczące audytu bezpieczeństwa
1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 5), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;
2) co najmniej dwóch audytorów posiadających:
a) certyfikaty określone w poniższym wykazie certyfikatów uprawiających do przeprowadzenia audytu lub
b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.
2. Wykaz certyfikatów uprawniających do przeprowadzenia audytu:
1) Certified Internal Auditor (CIA);
2) Certified Information System Auditor (CISA);
3) Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
4) Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
5) Certified Information Security Manager (CISM);
6) Certified in Risk and Information Systems Control (CRISC);
7) Certified in the Governance of Enterprise IT (CGEIT);
8) Certified Information Systems Security Professional (CISSP);
9) Systems Security Certified Practitioner (SSCP);
10) Certified Reliability Professional;
11) Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
3. Celem audytu jest wykazanie przez Świadczeniodawcę podniesienia poziomu bezpieczeństwa teleinformatycznego po zrealizowaniu czynności zgodnie z niniejszym zarządzeniem oraz w obszarach wskazanych w poniższej tabeli w odniesieniu do stanu na dzień przeprowadzenia badania poziomu dojrzałości cyberbezpieczeństwa u Świadczeniodawcy w formie ankiety. Przeprowadzony audyt wykaże podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z ankiety lub jego brak.
Nazwa obszaru | Opis działań skutkujących podniesieniem poziomu bezpieczeństwa teleinformatycznego u Świadczeniodawców. |
Skuteczność działania infrastruktury. | -Urządzenia i konfiguracja w zakresie ochrony poczty. -Urządzenia i konfiguracja w zakresie ochrony sieci. -Urządzenia i konfiguracja w zakresie systemów serwerowych. -Urządzenia i konfiguracja w zakresie stacji roboczych. -Urządzenia i konfiguracja w zakresie systemów bezpieczeństwa. |
Procesy zarządzania bezpieczeństwem informacji. | -Nośniki wymienne - udokumentowany sposób postępowania. -Zarządzanie tożsamością/dostęp do systemów w zakresie: - - przydzielanie dostępu, - - odbieranie dostępu. -Pomieszczenie w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo w przypadku podmiotów, które otrzymały decyzję uznającą taki podmiot za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa. |
Monitorowanie i reagowanie na incydenty bezpieczeństwa. | -Procedury zarządzania incydentami. -Raportowanie poziomów pokrycia scenariuszami znanych incydentów. -Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/sektorowego zespołu cyberbezpieczeństwa. -Monitorowanie i wykrycie incydentów bezpieczeństwa. -Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów. |
Zarządzanie ciągłością działania. | -Konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa. -Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa. -Procedury wykonywania i przechowywania kopii zapasowych. -Strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP). -Procedury utrzymaniowe. |
Utrzymanie systemów informacyjnych. | -Harmonogramy skanowania podatności. -Aktualny status realizacji postępowania z podatnościami. -Procedury związane ze z identyfikowaniem (wykryciem) podatności. -Współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami. |
Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług | -Polityka bezpieczeństwa w relacjach z dostawcami. -Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa. -Dostęp zdalny. -Metody uwierzytelnienia. |
Weryfikacja podniesienia poziomu bezpieczeństwa. | Przeprowadzony audyt wykazał podniesienie poziomu bezpieczeństwa teleinformatycznego w stosunku do stanu sprzed przystąpienia do działań mających na celu podniesienie poziomu bezpieczeństwa teleinformatycznego finansowanych w ramach zarządzenia. |
ZAŁĄCZNIK Nr 3
Wniosek o zawarcie umowy na finansowanie ze środków pochodzących z Funduszu Przeciwdziałania COVID-19 podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
Wniosek o zawarcie umowy na finansowanie ze środków pochodzących z Funduszu Przeciwdziałania COVID-19 podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
ZAŁĄCZNIK Nr 4 27
UMOWA Nr ........../............. o finansowanie ze środków pochodzących z Funduszu Przeciwdziałania COVID-19 podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
UMOWA Nr ........../............. o finansowanie ze środków pochodzących z Funduszu Przeciwdziałania COVID-19 podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
ZAŁĄCZNIK Nr 8 28
UMOWA AKTUALIZACYJNA Nr ...../......
UMOWA AKTUALIZACYJNA Nr ...../......
ZAŁĄCZNIK Nr 8b 30
WNIOSEK O DODATKOWE FINANSOWANIE Nr ..... / .......
WNIOSEK O DODATKOWE FINANSOWANIE Nr ..... / .......
ZAŁĄCZNIK Nr 10
Miesięczna prognoza wydatków z tytułu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
Miesięczna prognoza wydatków z tytułu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
Uzasadnienie
Niniejsze zarządzenie stanowi wykonanie decyzji Ministra Zdrowia z dnia 29 kwietnia 2022 r. znak: DIWP.07.5.2022.KW, wydanej na podstawie art. 11h ust. 2 pkt 2 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID- 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2021 r. poz. 2095, z późn. zm.), zmienionej decyzją Ministra Zdrowia z dnia 8 sierpnia 2022 r. znak: DIWP.07.5.2022.KW, z dnia 2 września 2022 r. znak: DIWP.07.5.2022.KW oraz z dnia 22 grudnia 2022 r. znak: DIWP.07.5.2022.KW.
Niniejsze zarządzenie stanowi wykonanie decyzji Ministra Zdrowia z dnia 29 kwietnia 2022 r. znak: DIWP.07.5.2022.KW, wydanej na podstawie art. 11h ust. 2 pkt 2 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID- 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2021 r. poz. 2095, z późn. zm.), zmienionej decyzją Ministra Zdrowia z dnia 8 sierpnia 2022 r. znak: DIWP.07.5.2022.KW, z dnia 2 września 2022 r. znak: DIWP.07.5.2022.KW oraz z dnia 22 grudnia 2022 r. znak: DIWP.07.5.2022.KW.
- umożliwi nowym podmiotom podjęcie i realizację działań mających na celu zwiększenie poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców - na podstawie wniosku o zawarcie umowy na finansowanie złożonego w 2023 r.
- przedłuża możliwość finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców - finansowanie obejmuje wydatki świadczeniodawców ponoszone od dnia 29 kwietnia 2022 r. do dnia 31 października 2023 r.
- umożliwia świadczeniodawcom dokończenie realizacji działań rozpoczętych na podstawie umowy zawartej w 2022 r. - w oparciu o umowę aktualizacyjną (umowa dodatkowa), która zostanie zawarta na podstawie wniosku aktualizacyjnego.
- zmieniony przez § 1 pkt 4 zarządzenia nr 108/2023/DI z dnia 14 lipca 2023 r. (NFZ.2023.108) zmieniającego nin. zarządzenie z dniem 15 lipca 2023 r.
- zmieniony przez § 1 pkt 1 zarządzenia nr 152/2023/DI z dnia 23 października 2023 r. (NFZ.2023.152) zmieniającego nin. zarządzenie z dniem 25 października 2023 r.
- zmieniony przez § 1 pkt 6 zarządzenia nr 108/2023/DI z dnia 14 lipca 2023 r. (NFZ.2023.108) zmieniającego nin. zarządzenie z dniem 15 lipca 2023 r.
- zmieniony przez § 1 pkt 2 zarządzenia nr 152/2023/DI z dnia 23 października 2023 r. (NFZ.2023.152) zmieniającego nin. zarządzenie z dniem 25 października 2023 r.
- zmieniony przez § 1 pkt 4 zarządzenia nr 18/2023/BBIICD z dnia 30 stycznia 2023 r. (NFZ.2023.18) zmieniającego nin. zarządzenie z dniem 31 stycznia 2023 r. Zmiany nie zostały naniesione na tekst.
- zmieniony przez § 1 pkt 10 zarządzenia nr 108/2023/DI z dnia 14 lipca 2023 r. (NFZ.2023.108) zmieniającego nin. zarządzenie z dniem 15 lipca 2023 r. Zmiany nie zostały naniesione na tekst.
- dodany przez § 1 pkt 11 lit. b zarządzenia nr 108/2023/DI z dnia 14 lipca 2023 r. (NFZ.2023.108) zmieniającego nin. zarządzenie z dniem 15 lipca 2023 r.
- zmieniony przez § 1 pkt 3 zarządzenia nr 121/2023/DI z dnia 14 sierpnia 2023 r. (NFZ.2023.121) zmieniającego nin. zarządzenie z dniem 15 sierpnia 2023 r. Zmiany nie zostały naniesione na tekst.