WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Podobne dokumenty
Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Krajowe Ramy Interoperacyjności - sprawna (?) komunikacja prawnotechnologiczna. informacyjnym

Marcin Soczko. Agenda

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

PRELEGENT Przemek Frańczak Członek SIODO

Wykorzystanie norm w projektowaniu i utrzymywaniu systemów informatycznych służących do przetwarzania danych osobowych. Biuro Generalnego Inspektora

Krzysztof Świtała WPiA UKSW

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo teleinformatyczne danych osobowych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zdrowe podejście do informacji

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Czy wszystko jest jasne??? Janusz Czauderna Tel

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych

PARTNER.

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Krajowe Ramy Interoperacyjności obowiązkowe wyzwanie dla JST w

Instrukcja Zarządzania Systemem Informatycznym

Analiza ryzyka w obszarze bezpieczeństwa informacji 1

Prawna regulacja zasad zabezpieczania systemów teleinformatycznych

Zarządzenie nr 1/2017 Dyrektora Przedszkola nr 20 w Rybniku z dnia 17 stycznia 2017 roku

Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

WYSTĄPIENIE POKONTROLNE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Umowa nr.. zawarta r. w Warszawie pomiędzy: Ministerstwem Kultury i Dziedzictwa Narodowego reprezentowanym przez MKiDN, zwanego dalej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Ochrona danych osobowych w biurach rachunkowych

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

I. Postanowienia ogólne

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185, poz. 1092). 2

Północno-Wschodni Klaster Edukacji Cyfrowej

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W KURATORIUM OŚWIATY W WARSZAWIE

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Zakres wymagań dotyczących Dokumentacji Systemu

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w W&H Sp. z. o.o. ul. Kościuszki 49, Turza Śląska, NIP:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

KRAJOWE RAMY INTEROPERACYJNOŚCI

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Promotor: dr inż. Krzysztof Różanowski

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Transkrypt:

Dr Artur Romaszewski Uniwersytet Jagielloński - Collegium Medicum Wydział Nauk o Zdrowiu Zakład Medycznych Systemów Informacyjnych Dr hab. med. Wojciech Trąbka Uniwersytet Jagielloński - Collegium Medicum Wydział Nauk o Zdrowiu Zakład Medycznych Systemów Informacyjnych WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH W artykule zostaną omówione standardy dotyczące bezpieczeństwa danych osobowych, standardy wykorzystywane przy tworzeniu i eksploatacji systemów informatycznych oraz rejestrów tworzonych i prowadzonych przez podmioty świadczące usługi medyczne. Standardy te muszą być uwzględnione w planach zastosowania chmur obliczeniowych do przetwarzania danych o stanie zdrowia. Obowiązki wynikające z faktu, że przetwarzane dane o stanie zdrowia to dane osobowe Przepisy Ustawy o ochronie danych wraz z rozporządzeniami wykonawczymi 1 zobowiązują każdy podmiot przetwarzający dane osobowe do szeregu działań w celu zapewnienia przede wszystkim bezpieczeństwa danym osobowym, ich poufności, integralności oraz rozliczalności. Znaczenie tych pojęć definiowanych przez odpowiednie przepisy prawne umieszczono w Tabeli 1. Tab. 1. Znaczenie wybranych pojęć prawnych obowiązujących w zakresie przetwarzania danych osobowych poufność danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom integralność danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; rozliczalność danych rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi Źródło: opracowanie własne na podstawie Ustawy o ochronie danych wraz z rozporządzeniami wykonawczymi 1 1 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U. 2004 nr 100 poz. 1024 71

W celu spełnienia tego wymogu administrator rozwiązań chmurowych jest zobowiązany do wielu działań wskazanych przez przepisy 2 : a) obowiązek stworzenia i prowadzenia dokumentacji bezpieczeństwa Niezależnie od tego, czy przetwarzający dane osobowe jest administratorem danych, czy podmiotem, któremu te dane powierzono, musi dokonać ewidencji przetwarzanych danych w polityce bezpieczeństwa oraz określić procedury ich przetwarzania w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (jak m.in. nadawanie uprawnień, stosowane metody i środki uwierzytelniania, procedury archiwizacyjne i in). W ramach działań związanych z przetwarzaniem danych istotną procedurą jest określenie obszaru przetwarzania danych, sporządzenie wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opracowanie opisów struktury zbiorów danych i sposobu przepływu danych pomiędzy poszczególnymi systemami. Należy również wskazać, jakie środki techniczne i organizacyjne przedsięwzięto dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Wszystkie powyższe działania zostają uregulowane w polityce bezpieczeństwa. b) wymagania w stosunku do systemu, w którym przetwarzane są dane o stanie zdrowia Administrator powinien zadbać o to, aby dostawca usługi dysponował systemem zgodnym z wymogami prawa. System stosowany dla każdej osoby, której dane osobowe są przetwarzane, powinien zapewnić odnotowanie: daty pierwszego wprowadzenia danych do systemu; identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą; informacji o odbiorcach danych, 2 art. 36-39a Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dz.U. 2002 nr 101 poz. 926; Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U. 2004 nr 100 poz. 1024 72

sprzeciwu, wobec przetwarzania danych w celach marketingowych lub wobec przekazania danych innemu administratorowi. Odnotowanie informacji powinno nastąpić automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. Ponadto dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje. c) wymóg wprowadzenia procedur związanych z istniejącym w podmiocie poziomem bezpieczeństwa W zależności od kategorii przetwarzanych danych oraz zagrożenia wynikającego przede wszystkim z faktu podłączenia urządzeń systemu informatycznego służącego do przetwarzania danych z siecią publiczną, wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym (Tabela 2): Tabela 2. Poziomy bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym. Poziom podstawowy podwyższony Poziom wysoki Zastosowanie poziomu - w systemie informatycznym nie są przetwarzane dane wrażliwe, - żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną - w systemie informatycznym przetwarzane są dane osobowe wrażliwe - żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. - stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Źródło: Opracowanie własne na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W zależności od poziomu, który funkcjonuje w podmiocie świadczącym usługi medyczne, w którym przetwarza się dane osobowe, wdraża się odpowiednie wymogi bezpieczeństwa przewidziane w przepisach. W związku z faktem, że w przypadku korzystania z chmury obliczeniowej w przetwarzaniu danych o stanie zdrowia będziemy mieli do czynienia zawsze z poziomem wysokim, należy wdrożyć wszystkie wymagania dotyczące tego poziomu. 73

Zasadą jest, że wprowadzając poziom wyższy należy wprowadzić wszystkie wymagania z poziomów niższych. Tak więc, w przypadku poziomu wysokiego należy wdrożyć szereg wymogów poziomu podstawowego i podwyższonego. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, należy prowadzić: kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. Poziom wysoki charakteryzuje się obowiązkiem wprowadzenia przez administratora środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Wprawdzie nie ma bezpośrednio mowy o szyfrowaniu wszystkich danych osobowych, ale warto zwrócić uwagę, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem 3. Warto odnotować również inne wymagania związane z kryptograficznym zabezpieczeniem danych: ochroną kryptograficzną należy objąć dane osobowe przetwarzane na komputerze przenośnym użytkowanym poza obszarem przetwarzania. urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. Nie przewidziano jednak obowiązku ochrony kryptograficznej w stosunku do danych przesyłanych w sieci. 3 Art. 36 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dz.U. 2002 nr 101 poz. 926 74

Obowiązki związane z teleinformatycznych. wdrożeniem standardów dla stosowanych systemów Standardy przewidziane dla systemów teleinformatycznych używanych przez podmioty świadczące usługi medyczne, to zagadnienie o tyle skomplikowane, że w ustawie o informatyzacji podmiotów realizujących zadania publiczne pojawia się nieprawidłowe wskazanie podmiotów zobowiązanych do wdrożenia wynikających z niej obowiązków, w stosunku do ustawy o działalności leczniczej 4. W ustawie bowiem, jako podmioty zobowiązane do stosowania standardów dotyczących m.in. systemów teleinformatycznych rejestrów, określonej procedury wymiany dokumentów elektronicznych, czy wykorzystywania epuap pojawiają się: samodzielne publiczne zakłady opieki zdrowotnej oraz spółki wykonujące działalność leczniczą w rozumieniu przepisów o działalności leczniczej 5, Narodowy Fundusz Zdrowia, Problem dotyczy oczywiście podmiotu spółki wykonujące działalność leczniczą Przepisy 6 nie przewidują takiej formy działalności leczniczej. Prawidłowa forma to przedsiębiorca w rozumieniu przepisów ustawy o swobodzie działalności gospodarczej 7. Standardy w dużym zakresie mają również zastosowanie do podmiotów, którym podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z realizacją tego zadania istnieje obowiązek przekazywania informacji do lub od podmiotów niebędących organami administracji rządowej 8. Dotyczy to między innymi praktyk lekarskich i pielęgniarskich mających kontrakty z NFZ. Podmioty te zobowiązane są do wdrożenia standardów dotyczących m.in minimalnych wymagań dla systemów teleinformatycznych. 4 Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej Dz.U. 2011 nr 112 poz. 654 5 Art. 2. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne Dz.U. 2005 nr 64 poz. 565 6 Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej Dz.U. 2011 nr 112 poz. 654 7 Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 1447, z późn. zm.2)) we wszelkich formach przewidzianych dla wykonywania działalności gospodarczej, jeżeli ustawa nie stanowi inaczej 8 Art. 2 ust.2. Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne Dz.U. 2005 nr 64 poz. 565 75

Przygotowanie systemów teleinformatycznych polega przede wszystkim na wdrożeniu standardów określonych w Krajowych Ramach Interoperacyjności 9. Systemy teleinformatyczne używane przez podmioty wymienione powyżej, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. Przepisy wskazują standardy, których wdrożenie powoduje, że powyższe wymagania zostają spełnione. Projektowanie, wdrażanie, eksploatowanie, monitorowanie, przeglądanie, utrzymanie i udoskonalanie zarządzania usługą podmiotu powinno się odbyć z uwzględnieniem Polskich Norm: PN-ISO/IEC 20000-1 i PN-ISO/IEC 20000-2. Wyposażanie systemu w składniki sprzętowe lub oprogramowanie umożliwiające wymianę danych z innymi systemami teleinformatycznymi powinno odbywać się za pomocą protokołów komunikacyjnych i szyfrujących określonych w obowiązujących przepisach, normach, standardach lub rekomendacjach ustanowionych przez krajową jednostkę normalizacyjną lub jednostkę normalizacyjną Unii Europejskiej. W przypadku gdy w danej sprawie brak jest przepisów, norm lub standardów stosuje się standardy uznane na poziomie międzynarodowym 10 Określono standardy kodowania znaków w dokumentach wysyłanych z systemów teleinformatycznych lub odbieranych przez takie systemy, także w odniesieniu do informacji wymienianej przez te systemy z innymi systemami na drodze teletransmisji 11. Systemy teleinformatyczne udostępniają zasoby informacyjne co najmniej w jednym z formatów danych określonych w przepisach. Określono również standardy przyjmowanie dokumentów 9 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Dz.U. 2012 poz. 526 10 w szczególności opracowane przez: 1) Internet Engineering Task Force (IETF) i publikowane w postaci Request For Comments (RFC), 2) World Wide Web Consortium (W3C) i publikowane w postaci W3C Recommendation (REC) adekwatnie do potrzeb wynikających z realizowanych zadań oraz bieżącego stanu technologii informatycznych. Informację o dostępności powyższych opisów standardów, minister właściwy do spraw informatyzacji publikuje w Biuletynie Informacji Publicznej. 11 o ile wymiana ta ma charakter wymiany znaków odbywa się według standardu Unicode UTF-8 określonego przez normę ISO/IEC 10646 wraz ze zmianami lub normę ją zastępującą. W uzasadnionych przypadkach dopuszcza się kodowanie znaków według standardu Unicode UTF-16. Zastosowanie kodowania nie może negatywnie wpływać na współpracę z systemami teleinformatycznym 76

elektronicznych służących do załatwiania spraw należących do zakresu działania podmiotów publicznych 12. Jednym z najważniejszych obowiązków jest ustanowienie w podmiocie systemu zarządzania bezpieczeństwem informacji. Każdy podmiot wykorzystujący systemy teleinformatyczne w celu realizacji zadań publicznych opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali taki system zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Dostępne są dwa rozwiązania pozwalające na wdrożenie systemu : samodzielne przygotowanie i wdrożenie opracowanie Systemu na podstawie wskazanych norm tj. Polskiej Normy PN-ISO/IEC 27001 - ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się wówczas na podstawie polskich norm związanych z powyższą Polską Normą 13. Jeżeli podmiot samodzielnie opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji powinien uwzględnić wymagania sumarycznie przedstawione w Tabeli 3. Tabela 3. Działania wymagane do stworzenia, wdrożenia i utrzymywania Systemu Zarządzania Bezpieczeństwem Informacji. - zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; - utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację - przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy - podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków 12 18 ust.2 Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Dz.U. 2012 poz. 526 13 w tym: PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. 77

mających na celu zapewnienie bezpieczeństwa informacji; bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań powyższych osób - zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; - zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: monitorowanie dostępu do informacji, czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; - ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; - zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; - zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; - ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych; - zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: dbałości o aktualizację oprogramowania, minimalizowaniu ryzyka utraty informacji w wyniku awarii, ochronie przed błędami, utratą, nieuprawnioną modyfikacją, stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, zapewnieniu bezpieczeństwa plików systemowych, redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; - bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących - zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Źródło: Opracowanie własne na podstawie Krajowych Ram Interoperacyjności. Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach). W dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegające na: dostępie do systemu z uprawnieniami administracyjnymi; konfiguracji systemu, w tym konfiguracji zabezpieczeń; 78

przetwarzanych w systemach danych podlegających prawnej ochronie w zakresie wymaganym przepisami prawa. Mogą być odnotowywane działania użytkowników lub obiektów systemowych, a także inne zdarzenia związane z eksploatacją systemu w postaci: działań użytkowników nieposiadających uprawnień administracyjnych, zdarzeń systemowych nieposiadających krytycznego znaczenia dla funkcjonowania systemu, zdarzeń i parametrów środowiska, w którym eksploatowany jest system teleinformatyczny Informacje w dziennikach systemów przechowywane są od dnia ich zapisu, przez okres wskazany w przepisach odrębnych, a w przypadku braku przepisów odrębnych przez dwa lata. Zapisy dzienników systemów mogą być składowane na zewnętrznych informatycznych nośnikach danych w warunkach zapewniających bezpieczeństwo informacji. W uzasadnionych przypadkach dzienniki systemów mogą być prowadzone na nośniku papierowym. Literatura [1] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dz.U. 2004 nr 100 poz. 1024 [2] Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Dz.U. 2012 poz. 526 [3] Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych Dz.U. 2012 poz. 526 [4] Ustawa z dnia 15 kwietnia 2011 r. o działalności leczniczej Dz.U. 2011 nr 112 poz. 654 [5] Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne Dz.U. 2005 nr 64 poz. 565 [6] Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 1447, z późn. zm. 79

[7] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dz.U. 2002 nr 101 poz. 926; Streszczenie Dane medyczne to dane osobowe, w tym, szczególnie chronione, tzw. dane wrażliwe. Podlegają one specjalnej ochronie prawnej wymuszającej odpowiednie procedury bezpieczeństwa. W artykule przedstawiono szereg wymogów dotyczących obowiązku stosowania procedur bezpieczeństwa i innych standardów wymaganych dla medycznych systemów teleinformatycznych. Zwrócono uwagę, że większość z tych obowiązków dotyczy również sytuacji przetwarzania danych o stanie zdrowia w zasobach udostępnianych w chmurach obliczeniowych. Przedstawiono wymagania dotyczące bezpieczeństwa danych osobowych jak również obwiązki związane z wdrożeniem standardów stosowanych w systemach teleinformatycznych na bazie których funkcjonują chmury obliczeniowe. Omówiony system zarządzania bezpieczeństwem informacji stanowić musi niezbędny element systemów informacyjnych, także tych opartych o model chmury obliczeniowej. 80

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres