Zdrowe podejście do informacji

Transkrypt

1 Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o.

2 Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony danych osobowych wystarczą? Znaczenie zarządzania ryzkiem Czy ISO da się wdrażad w służbie zdrowia? Wymagania Krajowych Ram Interoperacyjności

3 3 BEZPIECZEOSTWO INFORMACJI

4 Spojrzenie na bezpieczeostwo Warszawa,

5 Spojrzenie na bezpieczeostwo Warszawa,

6 Spojrzenie na bezpieczeostwo Warszawa,

7 Spojrzenie na bezpieczeostwo Warszawa,

8 Spojrzenie na bezpieczeostwo Warszawa,

9 Spojrzenie na bezpieczeostwo Warszawa,

10 Spojrzenie na bezpieczeostwo Warszawa,

11 Spojrzenie na bezpieczeostwo Warszawa,

12 Spojrzenie na bezpieczeostwo Warszawa,

13 Definicja bezpieczeostwa Koszty zabezpieczeo Wartośd aktywów Prawdopodobieostwo ich utraty Warszawa,

14 Definicja bezpieczeostwa Poufnośd (ang. Confidentiality) Integralnośd (ang. Integrity) Dostępnośd (ang. Availability) Warszawa,

15 CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?

16 Co wynika z Rozporządzeo ODO Stosowanie środków kryptograficznej ochrony. Dane zabezpiecza się w sposób zapewniający poufnośd i integralnośd tych danych. Monitoruje się wdrożone zabezpieczenia systemu informatycznego. System chroni się przed nieuprawnionym dostępem. Stosuje się mechanizmy kontroli dostępu do danych.

17 Co wynika z Rozporządzeo ODO Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania Ostatnia zmiana w rozporządzeniu Brak odniesienia do szczególnej ochrony danych wrażliwych

18 ZNACZENIE ZARZĄDZANIA RYZYKIEM

19 RYZYKO Definicja 1: Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009). Definicja 2: Wpływ niepewności na cele (ISO/IEC Guide 73:2009).

20 Cele zarządzania ryzykiem Identyfikacja szans i zagrożeo. Uodpornienie na niespodziewane zagrożenia. Zwiększenie prawdopodobieostwa powodzenia. Skuteczny nadzór. Zapobieganie stratom. Minimalizacja strat. Budowa pozytywnego wizerunku i zaufania.

21 Ryzyko w zarządzaniu bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008

22 Wiedza o zagrożeniach na poziomie administratorów systemów Zarządzanie ryzykiem operacyjnym związanym z poszczególnymi działami organizacji Zarządzanie ryzykiem strategicznym na poziomie zarządu organizacji

23 Mity W sektorze publicznym nie ma ryzyka jest tylko przepis. W podmiotach publicznych nie ma możliwości zarządzania ryzykiem. Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeo.

24 CZY ISO DA SIĘ WDROŻYD W PODMIOTACH PUBLICZNYCH?

25 Normy ISO Zarządzanie bezpieczeostwem informacji ISO Wymagania ISO Najlepsze praktyki ISO Zarządzanie ryzykiem ISO Najlepsze praktyki dla służby zdrowia

26 Cykl życia systemu zarządzania bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008

27 Cele bezpieczeostwa w ochronie zdrowia a) honorowanie zobowiązao prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeostwa; c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia; e) spełnianie potrzeb w zakresie bezpieczeostwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej; f) redukowanie kosztów operacyjnych ; g) zachowanie społecznego zaufania do organizacji ochrony zdrowia ; h) zachowanie standardów i etyki zawodowej,.; i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami; j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia Źródło: PN-EN ISO 27799:2008

28 Informacje, które należy chronid a) informacje o stanie zdrowia indywidualnych osób; b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób; c) dane statystyczne i badawcze; d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki); e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy; f) informacje związane ze społecznym nadzorem ochrony zdrowia; g) dane dotyczące śladów audytowych ; h) dane związane z bezpieczeostwem systemowym systemów informacyjnych ochrony zdrowia,..

29 KRAJOWE RAMY INTEROPERACYJNOŚCI

30 Projekt rozporządzenia KRI Treść projektu przekazana do notyfikacji 13 listopada 2011

31 Projekt rozporządzenia KRI Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeostwem informacji zapewniający poufnośd, dostępnośd i integralnośd informacji z uwzględnieniem takich atrybutów jak autentycznośd, rozliczalnośd, niezaprzeczalnośd i niezawodnośd.

32 Projekt rozporządzenia KRI 2. Zarządzanie bezpieczeostwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działao: zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działao minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; podejmowania działao zapewniających 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001,

33 Zdrowie informacji dobór narzędzi ISO ISO ISO Ochrona danych osobowych KRI ISO Analiza ryzyka Świadomośd ryzyka Ochrona danych medycznych ISO Zarządzanie ryzykiem

34 Dziękuję za uwagę Michał Tabor