Ochrana citlivch zdravotnickch dat pacient systmem zen bezpenosti
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799 -2: 2004 Ing. Daniel Kardoš
Cíl Ú Seznámení se základními termíny. Ú Seznámení se základními principy. Ú Seznámení s klasifikací informací. Ú Seznámení s hodnocením rizik. Ú 10 hlavních skupin opatření. Ú Příklady. Ú Obsah úvodního školení.
Co je bezpečnost informací Ú Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, Ú integrita - zabezpečení správnosti a kompletnosti informací a metod zpracování, Ú dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.
Proč chránit informace ? Ú Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda. Ú Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí. Ú Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda. Ú Právo duševního vlastnictví. Ú Ochrana zneužitelných informací. Ú Ochrana osobních údajů.
Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti. Ú Cena informačních aktiv. Ú Škody, které mohou vzniknout. Ú Náklady na bezpečnostní opatření.
5 základních rovin ochrany informací Ú Dokument politiky bezpečnosti informací, Ú přidělení odpovědností v oblasti bezpečnosti informací, Ú vzdělávání a školení v oblasti bezpečnosti informací, Ú hlášení bezpečnostních incidentů, Ú řízení kontinuity podnikatelských činností.
10 oblasti BS 7799 -2 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Politika bezpečnosti informací. Organizace bezpečnosti informací. Klasifikace a kontrola aktiv. Personální bezpečnost. Fyzická bezpečnost. Řízení provozu. Řízení přístupu. Vývoj, údržba. Kontinuita. Soulad.
1) Politika bezpečnosti informací Ú Definice bezp. info, cíle, rozsah a důležitostí, Ú prohlášení vedení organizace, Ú stručný výklad zásad: Úlegislativních a smluvních požadavků, Úvzdělávání v oblasti bezpečnosti, Úzásady prevence a detekce virů, Úzásady plánování kontinuity, Údůsledky porušení bezpečnostních zásad, Ú odpovědnost za řízení, Ú hlášení bezpečnostních incidentů, Ú odkazy na související směrnice.
2) Organizace bezpečnosti informací Ú Infrastruktura bezpečnosti informací. ÚFórum pro řízení bezpečnosti informací. ÚOdpovědnosti v oblasti bezpečnosti informací. ÚSpolupráce mezi organizacemi. Ú Identifikace rizik plynoucích z přístupu třetí strany.
3) Klasifikace a kontrola aktiv Ú Evidence aktiv a odpovědnost za aktiva. Ú Klasifikace informací, Úpravidla klasifikace, Úoznačování a nakládání s informacemi.
4) Personální bezpečnost Ú Bezpečnost a mlčenlivost v popisu práce. Ú Taktika prověřování uchazečů. Ú Podmínky výkonu pracovní činnosti. Ú Školení a vzdělávání uživatelů. Ú Hlášení bezpečnostních incidentů a slabin. Ú Hlášení chybného fungování programů. Ú Ponaučení z incidentů. Ú Disciplinární řízení.
5) Fyzická bezpečnost a bezpečnost prostředí Ú Fyzické bezpečnostní překážky budov a místnosti. Ú Kontroly vstupu osob. Ú Práce v bezpečných zónách. Ú Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže. Ú Údržba zařízení. Ú Bezpečnost zařízení mimo objekt. Ú Bezpečná likvidace nebo znovupoužití zařízení. Ú Zásada prázdného stolu a prázdné monitoru. Ú Vynášení majetku.
6) Správa komunikací a řízení provozu Ú Provozní postupy a odpovědnosti. Ú Plánování a akceptace systému. Ú Ochrana proti škodlivým programům. Ú Správa systému. Ú Správa sítě. Ú Bezpečnost při zacházení s médii. Ú Výměna informací a programů.
7) Řízení přístupu Ú Požadavky na řízení přístupu. Ú Řízení přístupu uživatelů. Ú Odpovědnosti uživatelů. Ú Řízení přístupu k síti. Ú Řízení přístupu k operačnímu systému. Ú Řízení přístupu k aplikacím. Ú Monitorování používání a přístupu k systému. Ú Mobilní prostředky a práce na dálku.
8) Vývoj a údržba systémů Ú Bezpečnostní požadavky na systémy. Ú Bezpečnost v aplikačních systémech. Ú Kryptografická opatření. Ú Bezpečnost systémových souborů. Ú Bezpečnost procesu vývoje a údržby.
9) Řízení kontinuity podnikatelských činností Ú Proces řízení kontinuity podnikatelských činností. Ú Kontinuita podnikatelských činností a analýza dopadů. Ú Vytváření a implementace plánů kontinuity. Ú Systém plánování kontinuity podnikatelských činností. Ú Testování, údržba a přehodnocování plánů kontinuity.
10) Soulad s požadavky Ú Určení odpovídajících právních norem, Úzákony na ochranu duševního vlastnictví, Úochrana záznamů organizace, Úochrana osobních údajů a jejich důvěrnost. Ú Sběr důkazů. Ú Prověrka bezpečnostní politiky a technické shody. Ú Podmínky auditu systému.
Pravděpodobnost incidentu
Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6. 1. PS SOI A 6. 1. 1 Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PS A 6. 1. 2 Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PS A 6. 1. 3 Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PS A 6. 1. 4 Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.
Politika bezpečnosti informací Ú Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Ú Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.
Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany: Úzdravotnických informací pacientů, Úosobních dat, Úobchodních a jiných dokumentů, Úefektivního řízení informací a informačních systémů, by měli všechny organizace zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS 7799 -2: 2004.
Úvodní školení – 3 hod. Ú Základní seznámení s požadavky normy BS 7799 -2. Ú Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení. Ú 10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení. Ú Ustanovení fóra bezpečnosti informací. Ú Úkoly, termíny, odpovědnosti.
Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam. cz www. sweb. cz/nemocis Tel: 774 061 028
- Slides: 23