Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš
Cíl Seznámení se základními termíny. Seznámení se základními principy. Seznámení s klasifikací informací. Seznámení s hodnocením rizik. 10 hlavních skupin opatření. Příklady. Obsah úvodního školení.
Co je bezpečnost informací Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování, dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.
Proč chránit informace ? Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda. Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí. Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda. Právo duševního vlastnictví. Ochrana zneužitelných informací. Ochrana osobních údajů.
Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti. Cena informačních aktiv. Škody, které mohou vzniknout. Náklady na bezpečnostní opatření.
5 základních rovin ochrany informací Dokument politiky bezpečnosti informací, přidělení odpovědností v oblasti bezpečnosti informací, vzdělávání a školení v oblasti bezpečnosti informací, hlášení bezpečnostních incidentů, řízení kontinuity podnikatelských činností.
10 oblasti BS Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Klasifikace a kontrola aktiv. 4. Personální bezpečnost. 5. Fyzická bezpečnost. 6. Řízení provozu. 7. Řízení přístupu. 8. Vývoj, údržba. 9. Kontinuita. 10. Soulad.
1) Politika bezpečnosti informací Definice bezp. info, cíle, rozsah a důležitostí, prohlášení vedení organizace, stručný výklad zásad: legislativních a smluvních požadavků, vzdělávání v oblasti bezpečnosti, zásady prevence a detekce virů, zásady plánování kontinuity, důsledky porušení bezpečnostních zásad, odpovědnost za řízení, hlášení bezpečnostních incidentů, odkazy na související směrnice.
2) Organizace bezpečnosti informací Infrastruktura bezpečnosti informací. Fórum pro řízení bezpečnosti informací. Odpovědnosti v oblasti bezpečnosti informací. Spolupráce mezi organizacemi. Identifikace rizik plynoucích z přístupu třetí strany.
3) Klasifikace a kontrola aktiv Evidence aktiv a odpovědnost za aktiva. Klasifikace informací, pravidla klasifikace, označování a nakládání s informacemi.
4) Personální bezpečnost Bezpečnost a mlčenlivost v popisu práce. Taktika prověřování uchazečů. Podmínky výkonu pracovní činnosti. Školení a vzdělávání uživatelů. Hlášení bezpečnostních incidentů a slabin. Hlášení chybného fungování programů. Ponaučení z incidentů. Disciplinární řízení.
5) Fyzická bezpečnost a bezpečnost prostředí Fyzické bezpečnostní překážky budov a místnosti. Kontroly vstupu osob. Práce v bezpečných zónách. Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže. Údržba zařízení. Bezpečnost zařízení mimo objekt. Bezpečná likvidace nebo znovupoužití zařízení. Zásada prázdného stolu a prázdné monitoru. Vynášení majetku.
6) Správa komunikací a řízení provozu Provozní postupy a odpovědnosti. Plánování a akceptace systému. Ochrana proti škodlivým programům. Správa systému. Správa sítě. Bezpečnost při zacházení s médii. Výměna informací a programů.
7) Řízení přístupu Požadavky na řízení přístupu. Řízení přístupu uživatelů. Odpovědnosti uživatelů. Řízení přístupu k síti. Řízení přístupu k operačnímu systému. Řízení přístupu k aplikacím. Monitorování používání a přístupu k systému. Mobilní prostředky a práce na dálku.
8) Vývoj a údržba systémů Bezpečnostní požadavky na systémy. Bezpečnost v aplikačních systémech. Kryptografická opatření. Bezpečnost systémových souborů. Bezpečnost procesu vývoje a údržby.
9) Řízení kontinuity podnikatelských činností Proces řízení kontinuity podnikatelských činností. Kontinuita podnikatelských činností a analýza dopadů. Vytváření a implementace plánů kontinuity. Systém plánování kontinuity podnikatelských činností. Testování, údržba a přehodnocování plánů kontinuity.
10) Soulad s požadavky Určení odpovídajících právních norem, zákony na ochranu duševního vlastnictví, ochrana záznamů organizace, ochrana osobních údajů a jejich důvěrnost. Sběr důkazů. Prověrka bezpečnostní politiky a technické shody. Podmínky auditu systému.
Pravděpodobnost incidentu
Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1. PS SOI A 6.1.1Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PSA 6.1.2Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PSA 6.1.3Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PSA6.1.4Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.
Politika bezpečnosti informací Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.
Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany: zdravotnických informací pacientů, osobních dat, obchodních a jiných dokumentů, efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS : 2004.
Úvodní školení – 3 hod. Základní seznámení s požadavky normy BS Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení. 10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení. Ustanovení fóra bezpečnosti informací. Úkoly, termíny, odpovědnosti.
Děkuji za pozornost Ing. Daniel Kardoš Tel: