Zdrowe podejście do informacji



Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Krzysztof Świtała WPiA UKSW

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Marcin Soczko. Agenda

PRELEGENT Przemek Frańczak Członek SIODO

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie ryzykiem w bezpieczeostwie IT

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Imed El Fray Włodzimierz Chocianowicz

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Zarządzanie projektami a zarządzanie ryzykiem

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Szkolenie otwarte 2016 r.

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Maciej Byczkowski ENSI 2017 ENSI 2017

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

RODO zmiana podejścia do ochrony danych osobowych

Warszawa, dnia 7 października 2013 r. Poz ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 24 września 2013 r.

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie ryzykiem w bezpieczeństwie informacji

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Ale ile to kosztuje?

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Reforma ochrony danych osobowych RODO/GDPR

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Regulamin zarządzania ryzykiem. Założenia ogólne

Społeczeństwo informacyjne Rola normalizacji. Jerzy Krawiec Warszawa,

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Kryteria oceny Systemu Kontroli Zarządczej

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

* 1. Rozporządzenie określa szczegółowe wymagania techniczne i organizacyjne

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Dziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Temat. Cena (bez noclegu) SYSTEM ZARZĄDZANIA JAKOŚCIĄ wg ISO MARZEC 2011 GRUDZIEO 2012 LUTY 2012 STYCZEO kwiecieo

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Ekoinnowacje w zarządzaniu przedsiębiorstwem

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

IV Ogólnopolska Konferencja Normalizacja w Szkole

Warszawa, dnia 19 czerwca 2013 r. Poz. 696 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 6 czerwca 2013 r.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

ROZPORZĄDZENIE MINISTRA ZDROWIA 1)

I. Postanowienia ogólne.

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Załącznik do zarządzenia nr 3/2011 Procedura zarządzania ryzykiem PROCEDURA ZARZĄDZANIA RYZYKIEM

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Kompleksowe Przygotowanie do Egzaminu CISMP

Czy wszystko jest jasne??? Janusz Czauderna Tel

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

ISO bezpieczeństwo informacji w organizacji

Datacenter - inteligentne bezpieczne przechowywanie dokumentacji medycznej. r. pr. Radosław Kapułka

Normalizacja dla bezpieczeństwa informacyjnego

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Szczegółowy opis przedmiotu zamówienia:

Transkrypt:

Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o.

Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony danych osobowych wystarczą? Znaczenie zarządzania ryzkiem Czy ISO 27001 da się wdrażad w służbie zdrowia? Wymagania Krajowych Ram Interoperacyjności

3 BEZPIECZEOSTWO INFORMACJI

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 4

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 5

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 6

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 7

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 8

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 9

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 10

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 11

Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 12

Definicja bezpieczeostwa Koszty zabezpieczeo Wartośd aktywów Prawdopodobieostwo ich utraty Warszawa, 13.10.2011 13

Definicja bezpieczeostwa Poufnośd (ang. Confidentiality) Integralnośd (ang. Integrity) Dostępnośd (ang. Availability) Warszawa, 13.10.2011 14

CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?

Co wynika z Rozporządzeo ODO Stosowanie środków kryptograficznej ochrony. Dane zabezpiecza się w sposób zapewniający poufnośd i integralnośd tych danych. Monitoruje się wdrożone zabezpieczenia systemu informatycznego. System chroni się przed nieuprawnionym dostępem. Stosuje się mechanizmy kontroli dostępu do danych.

Co wynika z Rozporządzeo ODO Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania Ostatnia zmiana w rozporządzeniu 1.10.2001 Brak odniesienia do szczególnej ochrony danych wrażliwych

ZNACZENIE ZARZĄDZANIA RYZYKIEM

RYZYKO Definicja 1: Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009). Definicja 2: Wpływ niepewności na cele (ISO/IEC Guide 73:2009).

Cele zarządzania ryzykiem Identyfikacja szans i zagrożeo. Uodpornienie na niespodziewane zagrożenia. Zwiększenie prawdopodobieostwa powodzenia. Skuteczny nadzór. Zapobieganie stratom. Minimalizacja strat. Budowa pozytywnego wizerunku i zaufania.

Ryzyko w zarządzaniu bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008

Wiedza o zagrożeniach na poziomie administratorów systemów Zarządzanie ryzykiem operacyjnym związanym z poszczególnymi działami organizacji Zarządzanie ryzykiem strategicznym na poziomie zarządu organizacji

Mity W sektorze publicznym nie ma ryzyka jest tylko przepis. W podmiotach publicznych nie ma możliwości zarządzania ryzykiem. Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeo.

CZY ISO 27001 DA SIĘ WDROŻYD W PODMIOTACH PUBLICZNYCH?

Normy ISO 27000 Zarządzanie bezpieczeostwem informacji ISO 27001 Wymagania ISO 27002 Najlepsze praktyki ISO 27005 Zarządzanie ryzykiem ISO 27799 Najlepsze praktyki dla służby zdrowia

Cykl życia systemu zarządzania bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008

Cele bezpieczeostwa w ochronie zdrowia a) honorowanie zobowiązao prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeostwa; c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia; e) spełnianie potrzeb w zakresie bezpieczeostwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej; f) redukowanie kosztów operacyjnych ; g) zachowanie społecznego zaufania do organizacji ochrony zdrowia ; h) zachowanie standardów i etyki zawodowej,.; i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami; j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia Źródło: PN-EN ISO 27799:2008

Informacje, które należy chronid a) informacje o stanie zdrowia indywidualnych osób; b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób; c) dane statystyczne i badawcze; d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki); e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy; f) informacje związane ze społecznym nadzorem ochrony zdrowia; g) dane dotyczące śladów audytowych ; h) dane związane z bezpieczeostwem systemowym systemów informacyjnych ochrony zdrowia,..

KRAJOWE RAMY INTEROPERACYJNOŚCI

Projekt rozporządzenia KRI Treść projektu przekazana do notyfikacji 13 listopada 2011

Projekt rozporządzenia KRI 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeostwem informacji zapewniający poufnośd, dostępnośd i integralnośd informacji z uwzględnieniem takich atrybutów jak autentycznośd, rozliczalnośd, niezaprzeczalnośd i niezawodnośd.

Projekt rozporządzenia KRI 2. Zarządzanie bezpieczeostwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działao: zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działao minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; podejmowania działao zapewniających 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001,

Zdrowie informacji dobór narzędzi ISO 27005 ISO 27001 ISO 27000 Ochrona danych osobowych KRI ISO 27002 Analiza ryzyka Świadomośd ryzyka Ochrona danych medycznych ISO 27799 Zarządzanie ryzykiem

Dziękuję za uwagę Michał Tabor michal.tabor@pki2.eu