Upload
leanne
View
54
Download
0
Embed Size (px)
DESCRIPTION
Workshop on Data Protection – New Challenges (J HA 51505 ) ISO /IEC 27799 vs. hospital/health care reality. Dr.sc. M iroslav Mađarić Klinički bolnički centar Zagreb Savjetnik ravnatelja za informatiku. Sadržaj :. Nomologija : zaštita vs. sigurnost Struktura ISO/IEC 27799 - PowerPoint PPT Presentation
Citation preview
Workshop on Data Protection – New Challenges(JHA 51505)
ISO/IEC 27799 vs. hospital/health care reality
Dr.sc. Miroslav MađarićKlinički bolnički centar Zagreb Savjetnik ravnatelja za informatiku
Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 1/12
Sadržaj:
• Nomologija: zaštita vs. sigurnost
• Struktura ISO/IEC 27799
• 25 prijetnji sigurnosti u e-Zdravlju
• Primjeri prijetnji sigurnosti iz iskustva KBC-a Zagreb
• Zaključci Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 2/12
Nomologija: sigurnost i zaštita
Zakon o zaštiti osobnih podataka, članak 1:“Svrha zaštite osobnih podataka je
zaštita privatnog života i ostalih ljudskih prava i temeljnih sloboda u
prikupljanju, obradi i korištenju osobnih podataka“
• Dakle, svrha ovoga Zakona stavlja fokus na POVJERLJIVOST
• Ostale sastavnice (INTEGRITET, RASPOLOŽIVOST) ovaj Zakon spominje marginalno.Workshop on Data Protection -
New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 3/12
Nomologija: sigurnost i zaštita
Obratno, temeljni “propis” informatičke sigurnosti u zdravstvu - standard ISO 27799, koji u području zdravstva operacionalizira primjenu ISO 27002 (opću informatičku sigurnost) – bavi se upravljanjem ukupnom sigurnošću:
“This International Standard provides: • guidance to healthcare organizations and other
custodians of personal health information on how best to:
• protect the Confidentiality, Integrity and Availability of such information by implementing ISO/IEC 27002”
Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 4/12
Struktura ISO/IEC 27799…• 5. Health information security • 6. Practical action plan for implementing
ISO/IEC 27002 • 7. Healthcare implications of ISO/IEC
27002• Annexes (informative):
• A) Threats to health information security • B) Tasks and related documents of the
Information Security Management• C) Potential benefits and required
attributes of support tools Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 5/12
25 prijetnji sigurnosti u e-Zdravlju
Workshop on Data Protection - New Challenges 31.1-1.2.2013.
ISO/IEC 27799 Appendix A: Threats to health information security:
13) Technical failure of the host, storage facility or network infrastructure
1) Masquerade by insiders 14) Environmental support failure 2) Masquerade by service providers 15) System or network software failure3) Masquerade by outsiders 16) Application software failure (e.g., of a
health information application)4) Unauthorized use of a health information application
17) Operator error
5) Introduction of damaging or disruptive software
18) Maintenance error
6) Misuse of system resources 19) User error7) Communications infiltration 20) Staff shortage8) Communications interception 21) Theft by insiders (including theft of
equipment or data)9) Repudiation 22) Theft by outsiders10) Connection failure 23) Wilful damage by insiders11) Embedding of malicious code 24) Wilful damage by outsiders12) Accidental misrouting 25) Terrorism
Mađarić: ISO/IEC 27799 vs. hospital/health care reality 6/12
25+1 prijetnji sigurnosti u e-Zdravlju
Workshop on Data Protection - New Challenges 31.1-1.2.2013.
Sigurnosna prijetnja Primjer(i) iz KBC-a Zagreb koji se odnosi/e na zaštitu osobnih podataka
C.I.A. kategorija
1) Masquerade by insiders Korištenje tuđeg ID/password kod odlaska pravog korisnika od računala;Zadržavanje inicijalne korisničke zaporke
C
2) Masquerade by service providers 3) Masquerade by outsiders 4) Unauthorized use of a health information application
Neovlašten uvid u podatke pacijenata koji su “medijski zanimljivi” ili s “društveno stigmatiziranim zdravstvenim statusom”
C
5) Introduction of damaging or disruptive software6) Misuse of system resources Skidanje velikih datoteka putem interneta
vodi zagušenju pristupa internetu, npr. za potrebe CEZIH-u
A
7) Communications infiltration8) Communications interception9) Repudiation Osporavanje neovlaštenog pristupa pod 4) C10) Connection failure Nemogućnost spajanja VPN-om A11) Embedding of malicious code12) Accidental misrouting Slanje nalaza e-mailom na krivu adresu C, A13) Technical failure of the host, storage facility or network infrastructure
Zaustavljanje cijelog hitnog prijema zbog mrežne greške na Radiologiji
A
Mađarić: ISO/IEC 27799 vs. hospital/health care reality 7/12
Neovlašten (?) uvid u “tuđe” pacijente
Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 8/12
25+1 prijetnji sigurnosti u e-Zdravlju
Workshop on Data Protection - New Challenges 31.1-1.2.2013.
Sigurnosna prijetnja (dodano!) Primjer(i) iz KBC-a Zagreb koji se odnosi/e na zaštitu osobnih podataka
C.I.A. kategorija
14) Environmental support failure Ispad napajanja servera; kvar klime A15) System or network software failure; or “works as designed”
Ispad Terminal Servera nemogućnost prijave na sustav;Manjkavosti primjene VDI (terminala)
A
C16) Application software failure (e.g., of a health information application); or “works as designed”
Nedovoljna kontrola kod upisa podataka, npr. za pacijente s istim imenom i prezimenom; nekonzistentnost sučelja vodi do gubitka podataka; neprimjereno zaključavanje/otključavanje dokumenata; Izmjena dokumenta bez evidentirane povijesti izmjena; prikupljanje nepotrebnih informacija, …
I
17) Operator error Pogrešne postavke (najčešća prava pristupa) C,A18) Maintenance error Ispad ili pogreška u funkcionalnostima zbog
instalacije patcheva i novih verzija sustava19) User error Zamjena identiteta; manjkav ili netočan
upis;Pokretanje velikih obrada u vršnom opterećenju
I
A
20) Staff shortage; also other scarce resources
Nedovoljna potpora pri uporabi aplikativnih funkcionalnosti;Štednja nabavom zamjenskih tonera
A
Mađarić: ISO/IEC 27799 vs. hospital/health care reality 9/12
25+1 prijetnji sigurnosti u e-Zdravlju
Workshop on Data Protection - New Challenges 31.1-1.2.2013.
Sigurnosna prijetnja Primjer(i) iz KBC-a Zagreb koji se odnosi/e na zaštitu osobnih podataka
C.I.A. kategorija
21) Theft by insiders (including theft of equipment or data)
Sve veći rizik kod mobilnih/prenosivih uređaja!
A
22) Theft by outsiders Sve veći rizik kod mobilnih/prenosivih uređaja!
C,A
23) Wilful damage by insiders Neprijateljski stav prema promjenama koje donosi IT – “kava u tastaturi”.
A
24) Wilful damage by outsiders25) Terrorismxx) Manjak integracije (kategorija koja nedostaje u ISO/IEC 27799 !)
Nemogućnost kontrole ispravnosti matičnih podataka pri upisu pacijenata (poglavito u hitnoj službi); sučelje između ljekarne i ordiniranja ili između e-Recepta i BIS-a;Misrouting
A, I
C
Mađarić: ISO/IEC 27799 vs. hospital/health care reality 10/12
Zaključci
1. Provoditi zaštitu osobnih podataka u svoj punini, ne samo privatnost:• C. kao Confidentiality• I. kao Integrity• A. kao Availability
2. Prihvatiti kompromis u ravnoteži C/A3. ISO/IEC 27799 upotrijebiti kao:
• Checklist• Preporuke u granicama realnosti• Podlogu za certifikaciju SW
4. ISMS kao shared service e-Zdravlja.Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 11/12
Hvala na pažnji!
Pitanja?(može i na: miroslav.madjaric@kbc-
zagreb.hr)
Workshop on Data Protection - New Challenges 31.1-1.2.2013. Mađarić: ISO/IEC 27799 vs. hospital/health care reality 12/12