Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o.
Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony danych osobowych wystarczą? Znaczenie zarządzania ryzkiem Czy ISO 27001 da się wdrażad w służbie zdrowia? Wymagania Krajowych Ram Interoperacyjności
3 BEZPIECZEOSTWO INFORMACJI
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 4
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 5
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 6
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 7
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 8
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 9
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 10
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 11
Spojrzenie na bezpieczeostwo Warszawa, 13.10.2011 12
Definicja bezpieczeostwa Koszty zabezpieczeo Wartośd aktywów Prawdopodobieostwo ich utraty Warszawa, 13.10.2011 13
Definicja bezpieczeostwa Poufnośd (ang. Confidentiality) Integralnośd (ang. Integrity) Dostępnośd (ang. Availability) Warszawa, 13.10.2011 14
CZY OCHRONA DANYCH OSOBOWYCH WYSTARCZA?
Co wynika z Rozporządzeo ODO Stosowanie środków kryptograficznej ochrony. Dane zabezpiecza się w sposób zapewniający poufnośd i integralnośd tych danych. Monitoruje się wdrożone zabezpieczenia systemu informatycznego. System chroni się przed nieuprawnionym dostępem. Stosuje się mechanizmy kontroli dostępu do danych.
Co wynika z Rozporządzeo ODO Brak zdefiniowanych mechanizmów ochrony, przez co zastosowanie nawet najbardziej prymitywnych i słabych spełnia wymagania Ostatnia zmiana w rozporządzeniu 1.10.2001 Brak odniesienia do szczególnej ochrony danych wrażliwych
ZNACZENIE ZARZĄDZANIA RYZYKIEM
RYZYKO Definicja 1: Skutek niepewności w odniesieniu do ustalonych celów (ISO 31000:2009). Definicja 2: Wpływ niepewności na cele (ISO/IEC Guide 73:2009).
Cele zarządzania ryzykiem Identyfikacja szans i zagrożeo. Uodpornienie na niespodziewane zagrożenia. Zwiększenie prawdopodobieostwa powodzenia. Skuteczny nadzór. Zapobieganie stratom. Minimalizacja strat. Budowa pozytywnego wizerunku i zaufania.
Ryzyko w zarządzaniu bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008
Wiedza o zagrożeniach na poziomie administratorów systemów Zarządzanie ryzykiem operacyjnym związanym z poszczególnymi działami organizacji Zarządzanie ryzykiem strategicznym na poziomie zarządu organizacji
Mity W sektorze publicznym nie ma ryzyka jest tylko przepis. W podmiotach publicznych nie ma możliwości zarządzania ryzykiem. Prawo nie zobowiązuje do zarządzania ryzykiem, nakazuje tylko stosowanie zabezpieczeo.
CZY ISO 27001 DA SIĘ WDROŻYD W PODMIOTACH PUBLICZNYCH?
Normy ISO 27000 Zarządzanie bezpieczeostwem informacji ISO 27001 Wymagania ISO 27002 Najlepsze praktyki ISO 27005 Zarządzanie ryzykiem ISO 27799 Najlepsze praktyki dla służby zdrowia
Cykl życia systemu zarządzania bezpieczeostwem informacji Źródło: PN-EN ISO 27799:2008
Cele bezpieczeostwa w ochronie zdrowia a) honorowanie zobowiązao prawnych b) zachowanie, ugruntowanych w informatyce ochrony zdrowia, najlepszych praktyk w zakresie prywatności i bezpieczeostwa; c) zachowanie indywidualnej i organizacyjnej rozliczalności d) wspomaganie wdrożenia systematycznego zarządzania ryzykiem w obrębie organizacji ochrony zdrowia; e) spełnianie potrzeb w zakresie bezpieczeostwa, rozpoznanych w codziennych sytuacjach w opiece zdrowotnej; f) redukowanie kosztów operacyjnych ; g) zachowanie społecznego zaufania do organizacji ochrony zdrowia ; h) zachowanie standardów i etyki zawodowej,.; i) użytkowanie elektronicznych systemów informacyjnych ochrony zdrowia w środowisku właściwie zabezpieczonym przed zagrożeniami; j) ułatwianie interoperacyjności wśród systemów związanych z ochroną zdrowia Źródło: PN-EN ISO 27799:2008
Informacje, które należy chronid a) informacje o stanie zdrowia indywidualnych osób; b) dane uzyskane z informacji o stanie zdrowia indywidualnych osób; c) dane statystyczne i badawcze; d) wiedza kliniczna i/lub medyczna, (np. dane na temat reakcji na leki); e) dane dotyczące pracowników opieki zdrowotnej, personelu i wolontariuszy; f) informacje związane ze społecznym nadzorem ochrony zdrowia; g) dane dotyczące śladów audytowych ; h) dane związane z bezpieczeostwem systemowym systemów informacyjnych ochrony zdrowia,..
KRAJOWE RAMY INTEROPERACYJNOŚCI
Projekt rozporządzenia KRI Treść projektu przekazana do notyfikacji 13 listopada 2011
Projekt rozporządzenia KRI 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeostwem informacji zapewniający poufnośd, dostępnośd i integralnośd informacji z uwzględnieniem takich atrybutów jak autentycznośd, rozliczalnośd, niezaprzeczalnośd i niezawodnośd.
Projekt rozporządzenia KRI 2. Zarządzanie bezpieczeostwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działao: zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działao minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; podejmowania działao zapewniających 3. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001,
Zdrowie informacji dobór narzędzi ISO 27005 ISO 27001 ISO 27000 Ochrona danych osobowych KRI ISO 27002 Analiza ryzyka Świadomośd ryzyka Ochrona danych medycznych ISO 27799 Zarządzanie ryzykiem
Dziękuję za uwagę Michał Tabor michal.tabor@pki2.eu