SlideShare ist ein Scribd-Unternehmen logo

Bezpieczeństwo informacji mtabor

Als PPT, PDF herunterladen
Michał Tabor
Michał Tabor
1 von 33
Bezpieczeństwo informacji w ochronie zdrowia Michał Tabor, CISSP Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Warszawa, 20 marca 2013
Agenda • Czym jest bezpieczeństwo informacji • Czy wymagania ochrony danych osobowych wystarczą? • Znaczenie zarządzania ryzkiem • Czy ISO 27001 da się wdrażać w służbie zdrowia? • Wymagania Krajowych Ram Interoperacyjności
BEZPIECZEŃSTWO INFORMACJI
Spojrzenie na bezpieczeństwo 4
Spojrzenie na bezpieczeństwo 5
Spojrzenie na bezpieczeństwo 6
Spojrzenie na bezpieczeństwo 7
Spojrzenie na bezpieczeństwo 8
Spojrzenie na bezpieczeństwo 9
Spojrzenie na bezpieczeństwo 10
Spojrzenie na bezpieczeństwo 11
Spojrzenie na bezpieczeństwo 12
Definicja bezpieczeństwa Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo ich utraty 13
Definicja bezpieczeństwa • Poufność (ang. Confidentiality) • Integralność (ang. Integrity) • Dostępność (ang. Availability) 14
CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?
Co wynika z Rozporządzeń ODO • Stosowanie środków kryptograficznej ochrony. • Dane zabezpiecza się w sposób zapewniający poufność i integralność tych danych. • Monitoruje się wdrożone zabezpieczenia systemu informatycznego. • System chroni się przed nieuprawnionym dostępem. • Stosuje się mechanizmy kontroli dostępu do danych. 16
Co wynika z Rozporządzeń ODO • Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania • Ostatnia zmiana w rozporządzeniu o warunkach technicznych Dz.U. 2004.100.1024 • Brak odniesienia do szczególnej ochrony danych wrażliwych 17
ZNACZENIE ZARZĄDZANIA RYZYKIEM
RYZYKO • Definicja 1: Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009). • Definicja 2: Wpływ niepewności na cele (ISO/IEC Guide 73:2009). 19
Cele zarządzania ryzykiem • Identyfikacja szans i zagrożeń. • Uodpornienie na niespodziewane zagrożenia. • Zwiększenie prawdopodobieństwa powodzenia. • Skuteczny nadzór. • Zapobieganie stratom. • Minimalizacja strat. • Budowa pozytywnego wizerunku i zaufania. 20
Ryzyko w zarządzaniu bezpieczeństwem informacji Źródło: PN-EN ISO 27799:2008 21
22
Mity • W sektorze publicznym nie ma ryzyka jest tylko przepis. • W podmiotach publicznych nie ma możliwości zarządzania ryzykiem. • Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeń. 23
CZY ISO 27001 DA SIĘ WDROŻYĆ W SŁUŻBIE ZDROWIA?
Normy • ISO 27000 – Słownik i wstęp do zarządzania bezpieczeństwem informacji • ISO 27001 – Wymagania SZBI • ISO 27002 – Najlepsze praktyki • ISO 27005 – Zarządzanie ryzykiem • ISO 27799 – Najlepsze praktyki dla służby zdrowia 25
Cykl życia systemu zarządzania bezpieczeństwem informacji Źródło: PN-EN ISO 27799:2008 26
Cele bezpieczeństwa w ochronie zdrowia a) honorowanie zobowiązań prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeństwa; c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia; e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej; f) redukowanie kosztów operacyjnych …; g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …; h) zachowanie standardów i etyki zawodowej, ….; i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami; j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia Źródło: PN-EN ISO 27799:2008 27
Informacje, które należy chronić a) informacje o stanie zdrowia indywidualnych osób; b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób; c) dane statystyczne i badawcze; d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki); e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy; f) informacje związane ze społecznym nadzorem ochrony zdrowia; g) dane dotyczące śladów audytowych…; h) dane związane z bezpieczeństwem systemowym systemów informacyjnych ochrony zdrowia, …. . 28
KRAJOWE RAMY INTEROPERACYJNOŚCI
Rozporządzenie KRI • § 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 30
Rozporządzenie KRI • 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu 3. Wymagania określone w  publicznego warunków umożliwiających realizację i egzekwowanie następujących ust. 1 i 2 uznaje się za  działań: spełnione, jeżeli system  • zapewnienia aktualizacji regulacji wewnętrznych w zarządzania  zakresie dotyczącym zmieniającego się otoczenia; • bezpieczeństwem informacji  utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania został opracowany na  informacji obejmującej ich rodzaj i konfigurację; podstawie Polskiej Normy  • przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji PN-ISO/IEC 27001, … oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; • podejmowania działań zapewniających … 31
Zdrowie informacji – dobór narzędzi • Analiza ryzyka • Świadomość ryzyka • Zarządzanie ryzykiem 32
Zamiast slajdu Q&A ZAPLANUJ Michał Tabor michal.tabor@pki2.eu 501557094

Empfohlen

System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychKS KS
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaWydawnictwo Helion
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PROIDEA
 
Raport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuRaport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuBusiness Insider Polska
 

Empfohlen

System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychKS KS
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaWydawnictwo Helion
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...
Cognity: Kurs Ochrona Danych Osobowych - bezpieczeństwo danych w systemach in...COGNITY Szkolenia
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny kompon...PROIDEA
 
Raport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuRaport NIK poświęcony cyberbezpieczeństwu
Raport NIK poświęcony cyberbezpieczeństwuBusiness Insider Polska
 
nik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwonik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwoAdam Zakrzewski
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęArtur Marek Maciąg
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 plSoniaNaiba
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 

Weitere ähnliche Inhalte

Ähnlich wie Bezpieczeństwo informacji mtabor

nik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwonik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwoAdam Zakrzewski
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęArtur Marek Maciąg
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 plSoniaNaiba
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Adam Mizerski
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014EYPoland
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 

Ähnlich wie Bezpieczeństwo informacji mtabor (13)

nik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwonik-p-15-042-cyberbezpieczenstwo
nik-p-15-042-cyberbezpieczenstwo
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformację
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
 
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
 
4
44
4
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
 
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
Wdrażanie hurtowni danych jako integralnego komponentu Projektu P1 - perspekt...
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIA
 

Bezpieczeństwo informacji mtabor

  • 1. Bezpieczeństwo informacji w ochronie zdrowia Michał Tabor, CISSP Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Warszawa, 20 marca 2013
  • 2. Agenda • Czym jest bezpieczeństwo informacji • Czy wymagania ochrony danych osobowych wystarczą? • Znaczenie zarządzania ryzkiem • Czy ISO 27001 da się wdrażać w służbie zdrowia? • Wymagania Krajowych Ram Interoperacyjności
  • 13. Definicja bezpieczeństwa Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo ich utraty 13
  • 14. Definicja bezpieczeństwa • Poufność (ang. Confidentiality) • Integralność (ang. Integrity) • Dostępność (ang. Availability) 14
  • 16. Co wynika z Rozporządzeń ODO • Stosowanie środków kryptograficznej ochrony. • Dane zabezpiecza się w sposób zapewniający poufność i integralność tych danych. • Monitoruje się wdrożone zabezpieczenia systemu informatycznego. • System chroni się przed nieuprawnionym dostępem. • Stosuje się mechanizmy kontroli dostępu do danych. 16
  • 17. Co wynika z Rozporządzeń ODO • Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania • Ostatnia zmiana w rozporządzeniu o warunkach technicznych Dz.U. 2004.100.1024 • Brak odniesienia do szczególnej ochrony danych wrażliwych 17
  • 19. RYZYKO • Definicja 1: Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009). • Definicja 2: Wpływ niepewności na cele (ISO/IEC Guide 73:2009). 19
  • 20. Cele zarządzania ryzykiem • Identyfikacja szans i zagrożeń. • Uodpornienie na niespodziewane zagrożenia. • Zwiększenie prawdopodobieństwa powodzenia. • Skuteczny nadzór. • Zapobieganie stratom. • Minimalizacja strat. • Budowa pozytywnego wizerunku i zaufania. 20
  • 21. Ryzyko w zarządzaniu bezpieczeństwem informacji Źródło: PN-EN ISO 27799:2008 21
  • 22. 22
  • 23. Mity • W sektorze publicznym nie ma ryzyka jest tylko przepis. • W podmiotach publicznych nie ma możliwości zarządzania ryzykiem. • Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeń. 23
  • 24. CZY ISO 27001 DA SIĘ WDROŻYĆ W SŁUŻBIE ZDROWIA?
  • 25. Normy • ISO 27000 – Słownik i wstęp do zarządzania bezpieczeństwem informacji • ISO 27001 – Wymagania SZBI • ISO 27002 – Najlepsze praktyki • ISO 27005 – Zarządzanie ryzykiem • ISO 27799 – Najlepsze praktyki dla służby zdrowia 25
  • 26. Cykl życia systemu zarządzania bezpieczeństwem informacji Źródło: PN-EN ISO 27799:2008 26
  • 27. Cele bezpieczeństwa w ochronie zdrowia a) honorowanie zobowiązań prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeństwa; c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia; e) spełnianie potrzeb w zakresie bezpieczeństwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej; f) redukowanie kosztów operacyjnych …; g) zachowanie społecznego zaufania do organizacji ochrony zdrowia …; h) zachowanie standardów i etyki zawodowej, ….; i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami; j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia Źródło: PN-EN ISO 27799:2008 27
  • 28. Informacje, które należy chronić a) informacje o stanie zdrowia indywidualnych osób; b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób; c) dane statystyczne i badawcze; d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki); e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy; f) informacje związane ze społecznym nadzorem ochrony zdrowia; g) dane dotyczące śladów audytowych…; h) dane związane z bezpieczeństwem systemowym systemów informacyjnych ochrony zdrowia, …. . 28
  • 30. Rozporządzenie KRI • § 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 30
  • 31. Rozporządzenie KRI • 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu 3. Wymagania określone w  publicznego warunków umożliwiających realizację i egzekwowanie następujących ust. 1 i 2 uznaje się za  działań: spełnione, jeżeli system  • zapewnienia aktualizacji regulacji wewnętrznych w zarządzania  zakresie dotyczącym zmieniającego się otoczenia; • bezpieczeństwem informacji  utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania został opracowany na  informacji obejmującej ich rodzaj i konfigurację; podstawie Polskiej Normy  • przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji PN-ISO/IEC 27001, … oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; • podejmowania działań zapewniających … 31
  • 32. Zdrowie informacji – dobór narzędzi • Analiza ryzyka • Świadomość ryzyka • Zarządzanie ryzykiem 32
  • 33. Zamiast slajdu Q&A ZAPLANUJ Michał Tabor michal.tabor@pki2.eu 501557094

Hinweis der Redaktion

  1. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.