Žádost o poskytnutí informací ze dne 2. 5. 2011

2. Jakým způsobem Ústav garantuje provozovatelům lékáren bezpečnost připojení k centrálnímu úložišti s ohledem na informační technologie používané jednotlivými provozovateli lékáren (které jsou u provozovatelů lékáren značně různorodé)?

3. Jakým způsobem Ústav garantuje provozovatelům lékáren kompatibilitu nabízeného způsobu připojení k centrálnímu úložišti s informačními technologiemi provozovatelů lékáren?

4. Jaké zabezpečovací prvky (hardwarové i softwarové) Ústav používá k připojení do informačních systémů provozovatelů lékáren a jaké atesty a certifikáty tato zařízení mají?

5. Jaký typ šifrování (asymetrické, symetrické apod.) používá Ústav k přenosu dat od provozovatelů lékáren a jaké délky (v bitech) je používaná šifra?

6. Jaká certifikační autorita je poskytovatelem používaného typu šifrování, zabezpečovacích klíčů, certifikátů?

7. Jakou odpovědnostní pojistku za způsobenou škodu, v jakém rozsahu a v jaké výši má Ústav uzavřenu pro případ, že jím používaný systém přenosu dat by způsobil nekompatibilitu s informačními systémy provozovatelů lékáren?

8. Jakou odpovědnostní pojistku za způsobenou škodu, v jakém rozsahu a v jaké výši má Ústav uzavřenu pro případ, že jím používaný systém přenosu dat by způsobil poruchu provozu vnitřní informační sítě lékáren a z toho vyplývající nemožnost pokračovat ve výdejní činnosti a s tím spojeného výpadku tržeb a ušlého zisku?

9. Jakou odpovědnostní pojistku za způsobenou škodu, v jakém rozsahu a v jaké výši má Ústav uzavřenu pro případ, že by soukromá společnost Netprosys, s.r.o. zneužila informací přenášených prostřednictvím routeru v obchodním styku či jinak zcizovala data provozovatelů lékáren?

10. Jakým způsobem Ústav garantuje, že získaná data nebudou zneužita k obchodním účelům a to ani nedopatřením, chybou či úmyslem zaměstnance Ústavu?

11. Jakou odpovědnostní pojistku za škodu, v jakém rozsahu a v jaké výši  má Ústav uzavřenu pro případ, že by zaměstnanec Ústavu chybou či úmyslem způsobil únik získaných dat?

12. Jaké certifikáty a atesty má Ústavem nabízený router CISCO 871-SEC-K9 dodávaný Ústavem do lékáren?

13. Jakým způsobem je řešena porucha na routeru a kdo za poruchu na routeru zodpovídá a na čí náklad je prováděna případná oprava nebo výměna routeru?

 

Poskytnuté informace

ad 1)
Obchodní procesy jednotlivých provozovatelů lékáren zůstávají daným řešením nedotčeny. Bezpečnost připojení je dána provozovaným řešením na bázi technologie, kdy jsou data zabezpečena (zašifrována) na straně provozovatelů lékáren, podle zvolené varianty buď za pomoci HW klienta IPSec, zajištěného dodavatelem řešení spol. NETPROSYS, s.r.o., nebo prostřednictvím technologie SSL na straně klientských stanic provozovatelů lékáren, a to po celé trase od provozovatele lékárny až na Ústav.

Přístup prostřednictvím HW klienta:
K zabezpečení poskytovaných údajů během přenosu je mezi přístupovým bodem (zdravotnickým zařízením – lékařem) a SÚKL vytvořen VPN tunel pro zajištění šifrovaného přenosu dat. VPN tunel mezi přístupovým bodem (zdravotnickým zařízením – lékárnou) a SÚKL je zabezpečen pomocí protokolu IPsec (IP security, specifikovaný v RFC 4308) v tunel módu s podporou IKEv2 (Internet Key Exchange specifikovaný v RFC 4306).
Pro komunikaci s VPN serverem (centrálním úložištěm) jsou podporovány následující vlastnosti IPSec tunelu:
– Podpora kryptovacích mechanismů dle RFC 4305
– Podpora PKI (Public Key Infrastructure) ověřování pomocí certifikátů X.509 v3
– VPN klient musí podporovat komunikaci na VPN server (centrální úložiště) prostřednictvím UDP protokolu dle RFC 3948 „UDP Encapsulation of IPsec ESP Packets“
– Podpora navázat tunel přes NAT/PAT (Network Address Translation/Port Network Address Translation), kde je požadována podpora RFC 3715 „IPsec-Network Address Translation (NAT) Compatibility Requirements“ a RFC 3947 „Negotiation of NAT-Traversal in the IKE“
Zdravotnické zařízení je pro tento účel vybaveno zabezpečovací technologií na vytvoření VPN spojení, ze strany SÚKL. Dedikovaný HW klient zajišťuje, že nedochází k zatěžování výpočetního systému zdravotnického zařízení.  VPN tunel neslouží k zajištění připojení zdravotnického zařízení do Internetu.

Přístup prostřednictvím SSL protokolu:
V případě menších (nízkokapacitních) nároků na kryptaci zpráv na straně zdravotnického zařízení je k zabezpečení poskytovaných údajů během přenosu je mezi přístupovým bodem (zdravotnickým zařízením – lékárníkem) a SÚKL vytvořeno zabezpečené spojení prostřednictvím SSL protokolu.
Pro komunikaci s SSL serverem (centrálním úložištěm) jsou podporovány následující vlastnosti SSL protokolu
– Podpora SSL Version 3.0, Transport Layer Security (TLS) Version 1.0. RFC 2246
– Podpora PKI (Public Key Infrastructure) ověřování pomocí certifikátů X.509 v3
– Podpora kryptovacích mechanismů dle RFC 3268

ad 2)
Obě varianty připojení k centrálnímu úložišti jsou nezávislé na používaných technologiích na straně provozovatelů lékáren. Jedinými podmínkami je připojení k síti Internet, Ethernet a protokol TCP/IP. Zabezpečení připojení viz bod 1.

ad 3)
Obě varianty připojení k centrálnímu úložišti jsou nezávislé na používané platformě na straně provozovatelů lékáren.

ad 4)
Ústav se nepřipojuje do informačních systémů provozovatelů lékáren.

ad 5)
V obou variantách se jedná o výměnu klíčů asymetrickým šifrováním s následným symetrickým šifrováním dat. Asymetrické šifry mají v obou případech délku 1024 bitů.

ad 6)  
Ústav je součástí stromu PKI hierarchie MZ ČR.

ad 7)
Ústav nemá uzavřenu popsanou odpovědnostní pojistku. Obě varianty připojení k centrálnímu úložišti jsou nezávislé na používaných informačních systémech na straně provozovatelů lékáren, tudíž je vyloučen vznik škody v souvislosti s případnou nekompatibilitou systémů.

ad 8)
Ústav nemá uzavřenu popsanou odpovědnostní pojistku. Používaný systém přenosu dat je nezávislý na vnitřní informační síti lékáren.

ad 9)
Pojistnou smlouvu pro krytí odpovědnosti za škodu s minimálním limitem plnění 30 mil. Kč má uzavřenu přímo společnost NETPROSYS, s.r.o. Uvedené bylo požadováno zadávací dokumentací veřejné zakázky na předmětnou dodávku a totéž je zakotveno přímo ve smlouvě na realizaci zakázky, uzavřené mezi Ústavem a spol. NETPROSYS, s.r.o.

ad 10)
Ústav je oprávněn získaná data použít pouze v mezích zákona a zákonem stanoveným účelům. Jakékoli jiné svévolné využití dat je vyloučeno. Veškeří zaměstnanci Ústavu jsou vázáni povinností mlčenlivosti, a to jednak přímo ust. § 22 odst. 3 písm. b) zákona č. 378/2007 Sb. o léčivech, ve znění pozdějších předpisů, dále na základě vnitřních předpisů SÚKL a uzavřených pracovních smluv. Každý zaměstnanec Ústavu má dále podepsáno prohlášení o střetu zájmů.

ad 11)
Ústav nemá uzavřeno popsané pojištění odpovědnosti za škody způsobené zaměstnancem.

ad 12)
HW klient Cisco 871 disponuje prohlášením o shodě. Z bezpečnostních certifikátů pak například certifikátem FIPS 140 Level 2. Uvedený router není nabízen Ústavem, neboť není v jeho majetku. Dodávka je zabezpečena dodavatelem dané veřejné zakázky, spol. NETPROSYS s.r.o.

ad 13)
V případě každé poruchy je třeba posoudit, kdo je v daném případě za škodu odpovědný. V případě poruchy vzniklé bez zavinění provozovatele lékárny provádí výměnu routeru bezplatně dodavatel, spol. NETPROSYS, s.r.o.

 

 

Zveřejnil: Tiskové a informační oddělení