Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš.

ZveřejnilTobiáš Fišer

Podobné prezentace

Prezentace na téma: "Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš."— Transkript prezentace:

1 Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš

2 Cíl  Seznámení se základními termíny.  Seznámení se základními principy.  Seznámení s klasifikací informací.  Seznámení s hodnocením rizik.  10 hlavních skupin opatření.  Příklady.  Obsah úvodního školení.

3 Co je bezpečnost informací  Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,  integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování,  dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

4 Proč chránit informace ?  Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda.  Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí.  Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda.  Právo duševního vlastnictví.  Ochrana zneužitelných informací.  Ochrana osobních údajů.

5 Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti.  Cena informačních aktiv.  Škody, které mohou vzniknout.  Náklady na bezpečnostní opatření.

6 5 základních rovin ochrany informací  Dokument politiky bezpečnosti informací,  přidělení odpovědností v oblasti bezpečnosti informací,  vzdělávání a školení v oblasti bezpečnosti informací,  hlášení bezpečnostních incidentů,  řízení kontinuity podnikatelských činností.

7 10 oblasti BS 7799-2 1. Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Klasifikace a kontrola aktiv. 4. Personální bezpečnost. 5. Fyzická bezpečnost. 6. Řízení provozu. 7. Řízení přístupu. 8. Vývoj, údržba. 9. Kontinuita. 10. Soulad.

8 1) Politika bezpečnosti informací  Definice bezp. info, cíle, rozsah a důležitostí,  prohlášení vedení organizace,  stručný výklad zásad:  legislativních a smluvních požadavků,  vzdělávání v oblasti bezpečnosti,  zásady prevence a detekce virů,  zásady plánování kontinuity,  důsledky porušení bezpečnostních zásad,  odpovědnost za řízení,  hlášení bezpečnostních incidentů,  odkazy na související směrnice.

9 2) Organizace bezpečnosti informací  Infrastruktura bezpečnosti informací.  Fórum pro řízení bezpečnosti informací.  Odpovědnosti v oblasti bezpečnosti informací.  Spolupráce mezi organizacemi.  Identifikace rizik plynoucích z přístupu třetí strany.

10 3) Klasifikace a kontrola aktiv  Evidence aktiv a odpovědnost za aktiva.  Klasifikace informací,  pravidla klasifikace,  označování a nakládání s informacemi.

11 4) Personální bezpečnost  Bezpečnost a mlčenlivost v popisu práce.  Taktika prověřování uchazečů.  Podmínky výkonu pracovní činnosti.  Školení a vzdělávání uživatelů.  Hlášení bezpečnostních incidentů a slabin.  Hlášení chybného fungování programů.  Ponaučení z incidentů.  Disciplinární řízení.

12 5) Fyzická bezpečnost a bezpečnost prostředí  Fyzické bezpečnostní překážky budov a místnosti.  Kontroly vstupu osob.  Práce v bezpečných zónách.  Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže.  Údržba zařízení.  Bezpečnost zařízení mimo objekt.  Bezpečná likvidace nebo znovupoužití zařízení.  Zásada prázdného stolu a prázdné monitoru.  Vynášení majetku.

13 6) Správa komunikací a řízení provozu  Provozní postupy a odpovědnosti.  Plánování a akceptace systému.  Ochrana proti škodlivým programům.  Správa systému.  Správa sítě.  Bezpečnost při zacházení s médii.  Výměna informací a programů.

14 7) Řízení přístupu  Požadavky na řízení přístupu.  Řízení přístupu uživatelů.  Odpovědnosti uživatelů.  Řízení přístupu k síti.  Řízení přístupu k operačnímu systému.  Řízení přístupu k aplikacím.  Monitorování používání a přístupu k systému.  Mobilní prostředky a práce na dálku.

15 8) Vývoj a údržba systémů  Bezpečnostní požadavky na systémy.  Bezpečnost v aplikačních systémech.  Kryptografická opatření.  Bezpečnost systémových souborů.  Bezpečnost procesu vývoje a údržby.

16 9) Řízení kontinuity podnikatelských činností  Proces řízení kontinuity podnikatelských činností.  Kontinuita podnikatelských činností a analýza dopadů.  Vytváření a implementace plánů kontinuity.  Systém plánování kontinuity podnikatelských činností.  Testování, údržba a přehodnocování plánů kontinuity.

17 10) Soulad s požadavky  Určení odpovídajících právních norem,  zákony na ochranu duševního vlastnictví,  ochrana záznamů organizace,  ochrana osobních údajů a jejich důvěrnost.  Sběr důkazů.  Prověrka bezpečnostní politiky a technické shody.  Podmínky auditu systému.

18 Pravděpodobnost incidentu

19 Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1. PS SOI A 6.1.1Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PSA 6.1.2Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PSA 6.1.3Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PSA6.1.4Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.

20 Politika bezpečnosti informací  Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod.  Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.

21 Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany:  zdravotnických informací pacientů,  osobních dat,  obchodních a jiných dokumentů,  efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS 7799-2: 2004.

22 Úvodní školení – 3 hod.  Základní seznámení s požadavky normy BS 7799-2.  Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení.  10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení.  Ustanovení fóra bezpečnosti informací.  Úkoly, termíny, odpovědnosti.

23 Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam.cz www.sweb.cz/nemocis Tel: 774 061 028

Stáhnout ppt "Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš."

Podobné prezentace

Předmět úpravy Podmínky pro poskytování sociálních služeb a příspěvku na péči Podmínky pro vydávání oprávnění k poskytování soc.služeb, pro výkon veřejné.

Předmět úpravy Podmínky pro poskytování sociálních služeb a příspěvku na péči Podmínky pro vydávání oprávnění k poskytování soc.služeb, pro výkon veřejné.
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
DRMS forum Brno, 7. - 8. září 2009 Mgr. Daniela Kobilková Praha, 7. září 2009.

DRMS forum Brno, září 2009 Mgr. Daniela Kobilková Praha, 7. září 2009.
Konference Bezpečnost v podmínkách organizací a institucí ČR

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Dokumentace k zajištění BOZP

Dokumentace k zajištění BOZP
ŘÍZENÍ LIDSKÝCH ZDROJŮ Vzdělávání, kvalifikace, rozvoj

ŘÍZENÍ LIDSKÝCH ZDROJŮ Vzdělávání, kvalifikace, rozvoj
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Personální informační systém

Personální informační systém
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku

Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina

7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace

Management kontinuity činností organizace
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
- manažerská práce je závislá na lidských zdrojích - manažeři uskutečňují cíle podniku prostřednictvím svých spolupracovníků - personální management se.

- manažerská práce je závislá na lidských zdrojích - manažeři uskutečňují cíle podniku prostřednictvím svých spolupracovníků - personální management se.
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.

Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Smluvní vztahy a registrace Jaroslav Žákovčík Praha 4.5.2005.

Smluvní vztahy a registrace Jaroslav Žákovčík Praha
Struktura personální směrnice

Struktura personální směrnice
Zkušenosti se zaváděním systému řízení v KSRZIS podle:

Zkušenosti se zaváděním systému řízení v KSRZIS podle:

Podobné prezentace

Reklamy Google