Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš

Cíl  Seznámení se základními termíny.  Seznámení se základními principy.  Seznámení s klasifikací informací.  Seznámení s hodnocením rizik.  10 hlavních skupin opatření.  Příklady.  Obsah úvodního školení.

Co je bezpečnost informací  Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,  integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování,  dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

Proč chránit informace ?  Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda.  Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí.  Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda.  Právo duševního vlastnictví.  Ochrana zneužitelných informací.  Ochrana osobních údajů.

Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti.  Cena informačních aktiv.  Škody, které mohou vzniknout.  Náklady na bezpečnostní opatření.

5 základních rovin ochrany informací  Dokument politiky bezpečnosti informací,  přidělení odpovědností v oblasti bezpečnosti informací,  vzdělávání a školení v oblasti bezpečnosti informací,  hlášení bezpečnostních incidentů,  řízení kontinuity podnikatelských činností.

10 oblasti BS Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Klasifikace a kontrola aktiv. 4. Personální bezpečnost. 5. Fyzická bezpečnost. 6. Řízení provozu. 7. Řízení přístupu. 8. Vývoj, údržba. 9. Kontinuita. 10. Soulad.

1) Politika bezpečnosti informací  Definice bezp. info, cíle, rozsah a důležitostí,  prohlášení vedení organizace,  stručný výklad zásad:  legislativních a smluvních požadavků,  vzdělávání v oblasti bezpečnosti,  zásady prevence a detekce virů,  zásady plánování kontinuity,  důsledky porušení bezpečnostních zásad,  odpovědnost za řízení,  hlášení bezpečnostních incidentů,  odkazy na související směrnice.

2) Organizace bezpečnosti informací  Infrastruktura bezpečnosti informací.  Fórum pro řízení bezpečnosti informací.  Odpovědnosti v oblasti bezpečnosti informací.  Spolupráce mezi organizacemi.  Identifikace rizik plynoucích z přístupu třetí strany.

3) Klasifikace a kontrola aktiv  Evidence aktiv a odpovědnost za aktiva.  Klasifikace informací,  pravidla klasifikace,  označování a nakládání s informacemi.

4) Personální bezpečnost  Bezpečnost a mlčenlivost v popisu práce.  Taktika prověřování uchazečů.  Podmínky výkonu pracovní činnosti.  Školení a vzdělávání uživatelů.  Hlášení bezpečnostních incidentů a slabin.  Hlášení chybného fungování programů.  Ponaučení z incidentů.  Disciplinární řízení.

5) Fyzická bezpečnost a bezpečnost prostředí  Fyzické bezpečnostní překážky budov a místnosti.  Kontroly vstupu osob.  Práce v bezpečných zónách.  Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže.  Údržba zařízení.  Bezpečnost zařízení mimo objekt.  Bezpečná likvidace nebo znovupoužití zařízení.  Zásada prázdného stolu a prázdné monitoru.  Vynášení majetku.

6) Správa komunikací a řízení provozu  Provozní postupy a odpovědnosti.  Plánování a akceptace systému.  Ochrana proti škodlivým programům.  Správa systému.  Správa sítě.  Bezpečnost při zacházení s médii.  Výměna informací a programů.

7) Řízení přístupu  Požadavky na řízení přístupu.  Řízení přístupu uživatelů.  Odpovědnosti uživatelů.  Řízení přístupu k síti.  Řízení přístupu k operačnímu systému.  Řízení přístupu k aplikacím.  Monitorování používání a přístupu k systému.  Mobilní prostředky a práce na dálku.

8) Vývoj a údržba systémů  Bezpečnostní požadavky na systémy.  Bezpečnost v aplikačních systémech.  Kryptografická opatření.  Bezpečnost systémových souborů.  Bezpečnost procesu vývoje a údržby.

9) Řízení kontinuity podnikatelských činností  Proces řízení kontinuity podnikatelských činností.  Kontinuita podnikatelských činností a analýza dopadů.  Vytváření a implementace plánů kontinuity.  Systém plánování kontinuity podnikatelských činností.  Testování, údržba a přehodnocování plánů kontinuity.

10) Soulad s požadavky  Určení odpovídajících právních norem,  zákony na ochranu duševního vlastnictví,  ochrana záznamů organizace,  ochrana osobních údajů a jejich důvěrnost.  Sběr důkazů.  Prověrka bezpečnostní politiky a technické shody.  Podmínky auditu systému.

Pravděpodobnost incidentu

Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1. PS SOI A 6.1.1Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PSA 6.1.2Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PSA 6.1.3Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PSA6.1.4Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.

Politika bezpečnosti informací  Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod.  Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.

Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany:  zdravotnických informací pacientů,  osobních dat,  obchodních a jiných dokumentů,  efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS : 2004.

Úvodní školení – 3 hod.  Základní seznámení s požadavky normy BS  Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení.  10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení.  Ustanovení fóra bezpečnosti informací.  Úkoly, termíny, odpovědnosti.

Děkuji za pozornost Ing. Daniel Kardoš Tel: