bezpieczeństwo informacji mtabor

Bezpieczeństwo informacji w ochronie zdrowia

Michał Tabor, CISSPDyrektor ds. OperacyjnychTrusted Information Consulting Sp. z o.o.

Warszawa, 20 marca 2013

Agenda

• Czym jest bezpieczeństwo informacji• Czy wymagania ochrony danych osobowych

wystarczą?• Znaczenie zarządzania ryzkiem • Czy ISO 27001 da się wdrażać w służbie zdrowia?• Wymagania Krajowych Ram Interoperacyjności

BEZPIECZEŃSTWO INFORMACJI

Spojrzenie na bezpieczeństwo

4

Spojrzenie na bezpieczeństwo

5

Spojrzenie na bezpieczeństwo

6

Spojrzenie na bezpieczeństwo

7

Spojrzenie na bezpieczeństwo

8

Spojrzenie na bezpieczeństwo

9

Spojrzenie na bezpieczeństwo

10

Spojrzenie na bezpieczeństwo

11

Spojrzenie na bezpieczeństwo

12

Definicja bezpieczeństwa

Koszty zabezpieczeń

13

Wartość aktywówPrawdopodobieństwo ich utraty

Definicja bezpieczeństwa

• Poufność (ang. Confidentiality)• Integralność (ang. Integrity)• Dostępność (ang. Availability)

14

CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?

Co wynika z Rozporządzeń ODO

• Stosowanie środków kryptograficznej ochrony.• Dane zabezpiecza się w sposób zapewniający

poufność i integralność tych danych.• Monitoruje się wdrożone zabezpieczenia systemu

informatycznego.• System chroni się przed nieuprawnionym dostępem.• Stosuje się mechanizmy kontroli dostępu do danych.

16

Co wynika z Rozporządzeń ODO

• Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania

• Ostatnia zmiana w rozporządzeniu o warunkach technicznych Dz.U. 2004.100.1024

• Brak odniesienia do szczególnej ochrony danych wrażliwych

17

ZNACZENIE ZARZĄDZANIA RYZYKIEM

RYZYKO

• Definicja 1:Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009).

• Definicja 2:Wpływ niepewności na cele (ISO/IEC Guide 73:2009).

19

Cele zarządzania ryzykiem

• Identyfikacja szans i zagrożeń.• Uodpornienie na niespodziewane zagrożenia.• Zwiększenie prawdopodobieństwa powodzenia.• Skuteczny nadzór.• Zapobieganie stratom.• Minimalizacja strat.• Budowa pozytywnego wizerunku i zaufania.

20

Ryzyko w zarządzaniu bezpieczeństwem informacji

Źródło: PN-EN ISO 27799:200821

22

Mity

• W sektorze publicznym nie ma ryzyka jest tylko przepis.

• W podmiotach publicznych nie ma możliwości zarządzania ryzykiem.

• Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeń.

23

CZY ISO 27001 DA SIĘ WDROŻYĆ W SŁUŻBIE ZDROWIA?

Normy

• ISO 27000 – Słownik i wstęp do zarządzania bezpieczeństwem informacji

• ISO 27001 – Wymagania SZBI• ISO 27002 – Najlepsze praktyki• ISO 27005 – Zarządzanie ryzykiem• ISO 27799 – Najlepsze praktyki dla służby zdrowia

25

Cykl życia systemu zarządzania bezpieczeństwem informacji

Źródło: PN-EN ISO 27799:2008

26

Cele bezpieczeństwa w ochronie zdrowiaa) honorowanie zobowiązań prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeństwa;c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia;e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej;f) redukowanie kosztów operacyjnych …;g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …;h) zachowanie standardów i etyki zawodowej, ….;i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami;j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowiaŹródło: PN-EN ISO 27799:2008

27

Informacje, które należy chronića) informacje o stanie zdrowia indywidualnych osób;b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób;c) dane statystyczne i badawcze;d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki);e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy;f) informacje związane ze społecznym nadzorem ochrony zdrowia;g) dane dotyczące śladów audytowych…;h) dane związane z bezpieczeństwem systemowym systemów informacyjnych ochrony zdrowia, …. .

28

KRAJOWE RAMY INTEROPERACYJNOŚCI

Rozporządzenie KRI

• § 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

30

Rozporządzenie KRI• 2. Zarządzanie bezpieczeństwem informacji

realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

• zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

• utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

• przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

• podejmowania działań zapewniających …

3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, …

31

• Analiza ryzyka• Świadomość ryzyka• Zarządzanie ryzykiem

Zdrowie informacji – dobór narzędzi

32

Zamiast slajdu Q&A

Michał Tabormichal.tabor@pki2.eu501557094

ZAPLANUJ