Jak tworzyć kopie zapasowe danych? Zalecenia MZ


Komunikat MZ na temat tworzenia kopii zapasowych danych

W związku z rosnącą liczbą ataków hakerskich na podmioty lecznicze, Ministerstwo Zdrowia radzi, aby tworzyć kopie zapasowe danych na nośnikach zewnętrznych odłączonych od sieci komputerowej.

Jak podkreśla MZ, nawet w przypadku przełamania zabezpieczeń i udanego ataku, posiadanie bezpiecznej kopii zapasowej umożliwi odtworzyć dane i przywrócić funkcjonowanie systemów IT. Zwraca też uwagę, że za cyberbezpieczeństwo odpowiada kierownik podmiotu, który musi zweryfikować, czy służby IT:

  • wykonują codzienne kopie zapasowe danych medycznych, niemedycznych i konfiguracji systemów, (jeżeli świadczenia są udzielane w dni wolne od pracy także w te dni),
  • wynoszą codziennie z serwerowni wykonane kopie zapasowe do innego budynku oraz odłączają od dostępu do sieci i internetu,
  • testują regularnie kopie zapasowe i na ich podstawie odtwarzają systemy.

MZ rekomenduje, aby kopie zapasowe były wykonywane na taśmach magnetycznych (np. LTO, DDS, RDX, inne), odpornych na działanie ransomware. Doraźną alternatywę mogą stanowić dyski twarde, które po wykonaniu kopii zapasowej będą odłączane od serwerów. Od wykonania powyższych czynności zależy bezpieczeństwo systemu świadczeniodawcy.

Wszystkie SPZOZ oraz spółki muszą wdrożyć systemy zarządzania bezpieczeństwem informacji (SZBI), w tym procedury wykonywania i testowania kopi zapasowych (§  20, Krajowe Ramy Interoperacyjności (KRI) z dnia 12 kwietnia 2012 r.). Audyt KRI powinien się odbywać nie rzadziej niż raz w roku.

Jeżeli została zidentyfikowana jakakolwiek słabość systemów kopii zapasowych, należy wykonać:

DZIAŁANIA DORAŹNE:

  1. zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji,
  2. robić regularnie dla wszystkich baz danych codzienne kopie zapasowe, zapisywane na zewnętrznych dyskach (np. dyskach USB) – alternatywę może stanowić zapisywanie kopii na płytach DVD,
  3. po wykonaniu kopii zapasowych dyski lub inne nośniki odłączyć  od serwerów i codziennie wynieść do innego budynku,
  4. do wykonywania kopii zapasowych wykorzystać kilka dysków lub innych nośników, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej z przed tygodnia,
  5. wykonane kopie zapasowe regularnie testować i próbnie odtwarzać poszczególne systemy;

DZIAŁANIA DOCELOWE:

  1. zidentyfikować wszystkie bazy danych, repozytoria plików oraz pliki konfiguracyjne aplikacji, ewentualnie całych obrazów maszyn wirtualnych,
  2. wykonywać codziennie kopie zapasowe na taśmach magnetycznych lub bibliotekach taśmowych,
  3.  wyciągnąć codziennie taśmy  z serwera i wynieść z serwerowni do innego budynku, a jeżeli podmiot dysponuje jednym budynkiem to do oddalonej części budynku,
  4. wykorzystać  do wykonywania kopii zapasowych kilka taśm, aby zachować rotację i możliwość zachowania kopii zapasowej co najmniej sprzed tygodnia,
  5. testować regularnie wykonane kopie zapasowe i próbnie odtwarzać poszczególne systemy. Podmiot korzysta w miarę swoich możliwości z:
  • taśm,
  • biblioteki taśmowej – powinna się ona znajdować w innym budynku niż serwerownia podstawowa, a jeżeli podmiot dysponuje jednym budynkiem to w do oddalonej części budynku,
  • systemu wykonywania kopii zapasowych, który musi być skonfigurowany przez inżynierów posiadających stosowne kompetencji, gwarantujące wykonanie skutecznych kopii zapasowych oraz konfigurację separacji sieciowej.

Więcej informacji dotyczących architektury systemów kopii zapasowych na stronach Centrum e-Zdrowia:

Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia – ezdrowie.gov.pl

Pobierz poradnik bezpieczeństwa danych i RODO w placówkach ochrony zdrowia