1. Bezpieczeństwo informacji w
ochronie zdrowia
Michał Tabor, CISSP
Dyrektor ds. Operacyjnych
Trusted Information Consulting Sp. z
o.o.
Warszawa, 20 marca 2013
2. Agenda
• Czym jest bezpieczeństwo informacji
• Czy wymagania ochrony danych osobowych
wystarczą?
• Znaczenie zarządzania ryzkiem
• Czy ISO 27001 da się wdrażać w służbie zdrowia?
• Wymagania Krajowych Ram Interoperacyjności
16. Co wynika z Rozporządzeń ODO
• Stosowanie środków kryptograficznej ochrony.
• Dane zabezpiecza się w sposób zapewniający
poufność i integralność tych danych.
• Monitoruje się wdrożone zabezpieczenia systemu
informatycznego.
• System chroni się przed nieuprawnionym dostępem.
• Stosuje się mechanizmy kontroli dostępu do danych.
16
17. Co wynika z Rozporządzeń ODO
• Brak zdefiniowanych mechanizmów ochrony,
przez co zastosowanie nawet najbardziej
prymitywnych i słabych spełnia wymagania
• Ostatnia zmiana w rozporządzeniu o
warunkach technicznych Dz.U. 2004.100.1024
• Brak odniesienia do szczególnej ochrony
danych wrażliwych
17
19. RYZYKO
• Definicja 1:
Skutek niepewności w odniesieniu do
ustalonych celów (ISO 31000:2009).
• Definicja 2:
Wpływ niepewności na cele (ISO/IEC Guide
73:2009).
19
20. Cele zarządzania ryzykiem
• Identyfikacja szans i zagrożeń.
• Uodpornienie na niespodziewane zagrożenia.
• Zwiększenie prawdopodobieństwa powodzenia.
• Skuteczny nadzór.
• Zapobieganie stratom.
• Minimalizacja strat.
• Budowa pozytywnego wizerunku i zaufania.
20
23. Mity
• W sektorze publicznym nie ma ryzyka jest
tylko przepis.
• W podmiotach publicznych nie ma możliwości
zarządzania ryzykiem.
• Prawo nie zobowiązuje do zarządzania
ryzykiem, nakazuje tylko stosowanie
zabezpieczeń.
23
25. Normy
• ISO 27000 – Słownik i wstęp do zarządzania
bezpieczeństwem informacji
• ISO 27001 – Wymagania SZBI
• ISO 27002 – Najlepsze praktyki
• ISO 27005 – Zarządzanie ryzykiem
• ISO 27799 – Najlepsze praktyki dla służby zdrowia
25
26. Cykl życia systemu zarządzania
bezpieczeństwem informacji
Źródło: PN-EN ISO 27799:2008
26
27. Cele bezpieczeństwa w ochronie zdrowia
a) honorowanie zobowiązań prawnych
b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w
zakresie prywatności i bezpieczeństwa;
c) zachowanie indywidualnej i organizacyjnej rozliczalności
d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie
organizacji ochrony zdrowia;
e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych
sytuacjach w opiece zdrowotnej;
f) redukowanie kosztów operacyjnych …;
g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …;
h) zachowanie standardów i etyki zawodowej, ….;
i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w
środowisku właściwie zabezpieczonym przed zagrożeniami;
j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia
Źródło: PN-EN ISO 27799:2008
27
28. Informacje, które należy chronić
a) informacje o stanie zdrowia indywidualnych osób;
b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób;
c) dane statystyczne i badawcze;
d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki);
e) dane dotyczące pracowników opieki zdrowotnej, personelu i
wolontariuszy;
f) informacje związane ze społecznym nadzorem ochrony zdrowia;
g) dane dotyczące śladów audytowych…;
h) dane związane z bezpieczeństwem systemowym systemów
informacyjnych ochrony zdrowia, …. .
28
30. Rozporządzenie KRI
• § 20. 1. Podmiot realizujący zadania publiczne
opracowuje i ustanawia, wdraża i eksploatuje,
monitoruje
i przegląda oraz utrzymuje i doskonali system
zarządzania bezpieczeństwem informacji
zapewniający poufność, dostępność i integralność
informacji z uwzględnieniem takich atrybutów jak
autentyczność, rozliczalność, niezaprzeczalność
i niezawodność.
30
31. Rozporządzenie KRI
• 2. Zarządzanie bezpieczeństwem informacji
realizowane jest w szczególności przez
zapewnienie przez kierownictwo podmiotu
3. Wymagania określone w
publicznego warunków umożliwiających
realizację i egzekwowanie następujących ust. 1 i 2 uznaje się za
działań: spełnione, jeżeli system
• zapewnienia aktualizacji regulacji wewnętrznych w zarządzania
zakresie dotyczącym zmieniającego się otoczenia;
•
bezpieczeństwem informacji
utrzymywania aktualności inwentaryzacji sprzętu i
oprogramowania służącego do przetwarzania został opracowany na
informacji obejmującej ich rodzaj i konfigurację; podstawie Polskiej Normy
• przeprowadzania okresowych analiz ryzyka utraty
integralności, dostępności lub poufności informacji
PN-ISO/IEC 27001, …
oraz podejmowania działań minimalizujących to
ryzyko, stosownie do wyników przeprowadzonej
analizy;
• podejmowania działań zapewniających …
31
Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.