Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš.

Slides:



Advertisements
Podobné prezentace
Předmět úpravy Podmínky pro poskytování sociálních služeb a příspěvku na péči Podmínky pro vydávání oprávnění k poskytování soc.služeb, pro výkon veřejné.
Advertisements

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
DRMS forum Brno, září 2009 Mgr. Daniela Kobilková Praha, 7. září 2009.
Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Dokumentace k zajištění BOZP
ŘÍZENÍ LIDSKÝCH ZDROJŮ Vzdělávání, kvalifikace, rozvoj
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Personální informační systém
Daniel Kardoš Ing. Daniel Kardoš
Postavení a úkoly manažera v oblasti řízení lidských zdrojů podniku
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
- manažerská práce je závislá na lidských zdrojích - manažeři uskutečňují cíle podniku prostřednictvím svých spolupracovníků - personální management se.
Auditorské postupy Činnosti před uzavřením smlouvy
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Smluvní vztahy a registrace Jaroslav Žákovčík Praha
Struktura personální směrnice
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Zkušenosti ze zavedení systému řízení kvality informačních služeb
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Zásady řešení informační bezpečnosti
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
Realizační tým ICZ duben 2005
ICT VE ŠKOLE LIDSKÉ ZDROJE listopad 2006 (c) Radek Maca.
Systémy řízení jakosti - úvodní cvičení
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
GovNet Ing. Zbyněk Škopán. Strana 2 KI ISVS Služby GovNet I. Centrální podpora Uživatelů.
Bezpečnostní politika
Dokumentace k zajištění BOZP
1. Zkvalitnění služeb státních organizací pomocí strukturálních fondů příklad Technologické agentury ČR Marie Stehlíková vedoucí Projektové kanceláře.
Personální plán pro podnikatelský plán
Název opory – Řízení BOZP, instituce BOZP, jejich místo, úloha a pravomoci Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro.
Organizace a řízení systému oceňování Richard Almy.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
REGISTRY VEŘEJNÉ SPRÁVY Obecné principy schváleného věcného záměru zákona o registrech veřejné správy Seminář sdružení Nemoforum Prostorová identifikace.
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
IS jako nástroj moderního personálního managementu Vít Červinka
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Systém managementu jakosti
Prioritní osa 2 Terciární vzdělávání, výzkum a vývoj OPERAČNÍ PROGRAM VZDĚLÁVÁNÍ PRO KONKURENCESCHOPNOST PhDr. Kateřina Pösingerová, CSc.
PROJEKT: Hodnocení průmyslových rizik
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Ústí nad Labem 4/2008 Ing. Jaromír Vachta
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Obecné nařízení o ochraně osobních údajů
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš

Cíl  Seznámení se základními termíny.  Seznámení se základními principy.  Seznámení s klasifikací informací.  Seznámení s hodnocením rizik.  10 hlavních skupin opatření.  Příklady.  Obsah úvodního školení.

Co je bezpečnost informací  Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,  integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování,  dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

Proč chránit informace ?  Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda.  Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí.  Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda.  Právo duševního vlastnictví.  Ochrana zneužitelných informací.  Ochrana osobních údajů.

Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti.  Cena informačních aktiv.  Škody, které mohou vzniknout.  Náklady na bezpečnostní opatření.

5 základních rovin ochrany informací  Dokument politiky bezpečnosti informací,  přidělení odpovědností v oblasti bezpečnosti informací,  vzdělávání a školení v oblasti bezpečnosti informací,  hlášení bezpečnostních incidentů,  řízení kontinuity podnikatelských činností.

10 oblasti BS Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Klasifikace a kontrola aktiv. 4. Personální bezpečnost. 5. Fyzická bezpečnost. 6. Řízení provozu. 7. Řízení přístupu. 8. Vývoj, údržba. 9. Kontinuita. 10. Soulad.

1) Politika bezpečnosti informací  Definice bezp. info, cíle, rozsah a důležitostí,  prohlášení vedení organizace,  stručný výklad zásad:  legislativních a smluvních požadavků,  vzdělávání v oblasti bezpečnosti,  zásady prevence a detekce virů,  zásady plánování kontinuity,  důsledky porušení bezpečnostních zásad,  odpovědnost za řízení,  hlášení bezpečnostních incidentů,  odkazy na související směrnice.

2) Organizace bezpečnosti informací  Infrastruktura bezpečnosti informací.  Fórum pro řízení bezpečnosti informací.  Odpovědnosti v oblasti bezpečnosti informací.  Spolupráce mezi organizacemi.  Identifikace rizik plynoucích z přístupu třetí strany.

3) Klasifikace a kontrola aktiv  Evidence aktiv a odpovědnost za aktiva.  Klasifikace informací,  pravidla klasifikace,  označování a nakládání s informacemi.

4) Personální bezpečnost  Bezpečnost a mlčenlivost v popisu práce.  Taktika prověřování uchazečů.  Podmínky výkonu pracovní činnosti.  Školení a vzdělávání uživatelů.  Hlášení bezpečnostních incidentů a slabin.  Hlášení chybného fungování programů.  Ponaučení z incidentů.  Disciplinární řízení.

5) Fyzická bezpečnost a bezpečnost prostředí  Fyzické bezpečnostní překážky budov a místnosti.  Kontroly vstupu osob.  Práce v bezpečných zónách.  Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže.  Údržba zařízení.  Bezpečnost zařízení mimo objekt.  Bezpečná likvidace nebo znovupoužití zařízení.  Zásada prázdného stolu a prázdné monitoru.  Vynášení majetku.

6) Správa komunikací a řízení provozu  Provozní postupy a odpovědnosti.  Plánování a akceptace systému.  Ochrana proti škodlivým programům.  Správa systému.  Správa sítě.  Bezpečnost při zacházení s médii.  Výměna informací a programů.

7) Řízení přístupu  Požadavky na řízení přístupu.  Řízení přístupu uživatelů.  Odpovědnosti uživatelů.  Řízení přístupu k síti.  Řízení přístupu k operačnímu systému.  Řízení přístupu k aplikacím.  Monitorování používání a přístupu k systému.  Mobilní prostředky a práce na dálku.

8) Vývoj a údržba systémů  Bezpečnostní požadavky na systémy.  Bezpečnost v aplikačních systémech.  Kryptografická opatření.  Bezpečnost systémových souborů.  Bezpečnost procesu vývoje a údržby.

9) Řízení kontinuity podnikatelských činností  Proces řízení kontinuity podnikatelských činností.  Kontinuita podnikatelských činností a analýza dopadů.  Vytváření a implementace plánů kontinuity.  Systém plánování kontinuity podnikatelských činností.  Testování, údržba a přehodnocování plánů kontinuity.

10) Soulad s požadavky  Určení odpovídajících právních norem,  zákony na ochranu duševního vlastnictví,  ochrana záznamů organizace,  ochrana osobních údajů a jejich důvěrnost.  Sběr důkazů.  Prověrka bezpečnostní politiky a technické shody.  Podmínky auditu systému.

Pravděpodobnost incidentu

Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1. PS SOI A 6.1.1Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PSA 6.1.2Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PSA 6.1.3Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PSA6.1.4Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.

Politika bezpečnosti informací  Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod.  Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.

Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany:  zdravotnických informací pacientů,  osobních dat,  obchodních a jiných dokumentů,  efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS : 2004.

Úvodní školení – 3 hod.  Základní seznámení s požadavky normy BS  Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení.  10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení.  Ustanovení fóra bezpečnosti informací.  Úkoly, termíny, odpovědnosti.

Děkuji za pozornost Ing. Daniel Kardoš Tel: