Embed Size (px)
Citation preview
Bezpieczeństwo informacji w ochronie zdrowia
Michał Tabor, CISSPDyrektor ds. OperacyjnychTrusted Information Consulting Sp. z o.o.
Warszawa, 20 marca 2013
Agenda
• Czym jest bezpieczeństwo informacji• Czy wymagania ochrony danych osobowych
wystarczą?• Znaczenie zarządzania ryzkiem • Czy ISO 27001 da się wdrażać w służbie zdrowia?• Wymagania Krajowych Ram Interoperacyjności
BEZPIECZEŃSTWO INFORMACJI
Spojrzenie na bezpieczeństwo
4
Spojrzenie na bezpieczeństwo
5
Spojrzenie na bezpieczeństwo
6
Spojrzenie na bezpieczeństwo
7
Spojrzenie na bezpieczeństwo
8
Spojrzenie na bezpieczeństwo
9
Spojrzenie na bezpieczeństwo
10
Spojrzenie na bezpieczeństwo
11
Spojrzenie na bezpieczeństwo
12
Definicja bezpieczeństwa
Koszty zabezpieczeń
13
Wartość aktywówPrawdopodobieństwo ich utraty
Definicja bezpieczeństwa
• Poufność (ang. Confidentiality)• Integralność (ang. Integrity)• Dostępność (ang. Availability)
14
CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?
Co wynika z Rozporządzeń ODO
• Stosowanie środków kryptograficznej ochrony.• Dane zabezpiecza się w sposób zapewniający
poufność i integralność tych danych.• Monitoruje się wdrożone zabezpieczenia systemu
informatycznego.• System chroni się przed nieuprawnionym dostępem.• Stosuje się mechanizmy kontroli dostępu do danych.
16
Co wynika z Rozporządzeń ODO
• Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania
• Ostatnia zmiana w rozporządzeniu o warunkach technicznych Dz.U. 2004.100.1024
• Brak odniesienia do szczególnej ochrony danych wrażliwych
17
ZNACZENIE ZARZĄDZANIA RYZYKIEM
RYZYKO
• Definicja 1:Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009).
• Definicja 2:Wpływ niepewności na cele (ISO/IEC Guide 73:2009).
19
Cele zarządzania ryzykiem
• Identyfikacja szans i zagrożeń.• Uodpornienie na niespodziewane zagrożenia.• Zwiększenie prawdopodobieństwa powodzenia.• Skuteczny nadzór.• Zapobieganie stratom.• Minimalizacja strat.• Budowa pozytywnego wizerunku i zaufania.
20
Ryzyko w zarządzaniu bezpieczeństwem informacji
Źródło: PN-EN ISO 27799:200821
22
Mity
• W sektorze publicznym nie ma ryzyka jest tylko przepis.
• W podmiotach publicznych nie ma możliwości zarządzania ryzykiem.
• Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeń.
23
CZY ISO 27001 DA SIĘ WDROŻYĆ W SŁUŻBIE ZDROWIA?
Normy
• ISO 27000 – Słownik i wstęp do zarządzania bezpieczeństwem informacji
• ISO 27001 – Wymagania SZBI• ISO 27002 – Najlepsze praktyki• ISO 27005 – Zarządzanie ryzykiem• ISO 27799 – Najlepsze praktyki dla służby zdrowia
25
Cykl życia systemu zarządzania bezpieczeństwem informacji
Źródło: PN-EN ISO 27799:2008
26
Cele bezpieczeństwa w ochronie zdrowiaa) honorowanie zobowiązań prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeństwa;c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia;e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej;f) redukowanie kosztów operacyjnych …;g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …;h) zachowanie standardów i etyki zawodowej, ….;i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami;j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowiaŹródło: PN-EN ISO 27799:2008
27
Informacje, które należy chronića) informacje o stanie zdrowia indywidualnych osób;b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób;c) dane statystyczne i badawcze;d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki);e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy;f) informacje związane ze społecznym nadzorem ochrony zdrowia;g) dane dotyczące śladów audytowych…;h) dane związane z bezpieczeństwem systemowym systemów informacyjnych ochrony zdrowia, …. .
28
KRAJOWE RAMY INTEROPERACYJNOŚCI
Rozporządzenie KRI
• § 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.
30
Rozporządzenie KRI• 2. Zarządzanie bezpieczeństwem informacji
realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
• zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
• utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
• przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
• podejmowania działań zapewniających …
3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, …
31
• Analiza ryzyka• Świadomość ryzyka• Zarządzanie ryzykiem
Zdrowie informacji – dobór narzędzi
32
