Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš.

Podobné prezentace


Prezentace na téma: "Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš."— Transkript prezentace:

1 Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš

2 Cíl  Seznámení se základními termíny.  Seznámení se základními principy.  Seznámení s klasifikací informací.  Seznámení s hodnocením rizik.  10 hlavních skupin opatření.  Příklady.  Obsah úvodního školení.

3 Co je bezpečnost informací  Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,  integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování,  dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

4 Proč chránit informace ?  Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda.  Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí.  Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda.  Právo duševního vlastnictví.  Ochrana zneužitelných informací.  Ochrana osobních údajů.

5 Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti.  Cena informačních aktiv.  Škody, které mohou vzniknout.  Náklady na bezpečnostní opatření.

6 5 základních rovin ochrany informací  Dokument politiky bezpečnosti informací,  přidělení odpovědností v oblasti bezpečnosti informací,  vzdělávání a školení v oblasti bezpečnosti informací,  hlášení bezpečnostních incidentů,  řízení kontinuity podnikatelských činností.

7 10 oblasti BS 7799-2 1. Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Klasifikace a kontrola aktiv. 4. Personální bezpečnost. 5. Fyzická bezpečnost. 6. Řízení provozu. 7. Řízení přístupu. 8. Vývoj, údržba. 9. Kontinuita. 10. Soulad.

8 1) Politika bezpečnosti informací  Definice bezp. info, cíle, rozsah a důležitostí,  prohlášení vedení organizace,  stručný výklad zásad:  legislativních a smluvních požadavků,  vzdělávání v oblasti bezpečnosti,  zásady prevence a detekce virů,  zásady plánování kontinuity,  důsledky porušení bezpečnostních zásad,  odpovědnost za řízení,  hlášení bezpečnostních incidentů,  odkazy na související směrnice.

9 2) Organizace bezpečnosti informací  Infrastruktura bezpečnosti informací.  Fórum pro řízení bezpečnosti informací.  Odpovědnosti v oblasti bezpečnosti informací.  Spolupráce mezi organizacemi.  Identifikace rizik plynoucích z přístupu třetí strany.

10 3) Klasifikace a kontrola aktiv  Evidence aktiv a odpovědnost za aktiva.  Klasifikace informací,  pravidla klasifikace,  označování a nakládání s informacemi.

11 4) Personální bezpečnost  Bezpečnost a mlčenlivost v popisu práce.  Taktika prověřování uchazečů.  Podmínky výkonu pracovní činnosti.  Školení a vzdělávání uživatelů.  Hlášení bezpečnostních incidentů a slabin.  Hlášení chybného fungování programů.  Ponaučení z incidentů.  Disciplinární řízení.

12 5) Fyzická bezpečnost a bezpečnost prostředí  Fyzické bezpečnostní překážky budov a místnosti.  Kontroly vstupu osob.  Práce v bezpečných zónách.  Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže.  Údržba zařízení.  Bezpečnost zařízení mimo objekt.  Bezpečná likvidace nebo znovupoužití zařízení.  Zásada prázdného stolu a prázdné monitoru.  Vynášení majetku.

13 6) Správa komunikací a řízení provozu  Provozní postupy a odpovědnosti.  Plánování a akceptace systému.  Ochrana proti škodlivým programům.  Správa systému.  Správa sítě.  Bezpečnost při zacházení s médii.  Výměna informací a programů.

14 7) Řízení přístupu  Požadavky na řízení přístupu.  Řízení přístupu uživatelů.  Odpovědnosti uživatelů.  Řízení přístupu k síti.  Řízení přístupu k operačnímu systému.  Řízení přístupu k aplikacím.  Monitorování používání a přístupu k systému.  Mobilní prostředky a práce na dálku.

15 8) Vývoj a údržba systémů  Bezpečnostní požadavky na systémy.  Bezpečnost v aplikačních systémech.  Kryptografická opatření.  Bezpečnost systémových souborů.  Bezpečnost procesu vývoje a údržby.

16 9) Řízení kontinuity podnikatelských činností  Proces řízení kontinuity podnikatelských činností.  Kontinuita podnikatelských činností a analýza dopadů.  Vytváření a implementace plánů kontinuity.  Systém plánování kontinuity podnikatelských činností.  Testování, údržba a přehodnocování plánů kontinuity.

17 10) Soulad s požadavky  Určení odpovídajících právních norem,  zákony na ochranu duševního vlastnictví,  ochrana záznamů organizace,  ochrana osobních údajů a jejich důvěrnost.  Sběr důkazů.  Prověrka bezpečnostní politiky a technické shody.  Podmínky auditu systému.

18 Pravděpodobnost incidentu

19 Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1. PS SOI A 6.1.1Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PSA 6.1.2Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PSA 6.1.3Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PSA6.1.4Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.

20 Politika bezpečnosti informací  Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod.  Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.

21 Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany:  zdravotnických informací pacientů,  osobních dat,  obchodních a jiných dokumentů,  efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS 7799-2: 2004.

22 Úvodní školení – 3 hod.  Základní seznámení s požadavky normy BS 7799-2.  Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení.  10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení.  Ustanovení fóra bezpečnosti informací.  Úkoly, termíny, odpovědnosti.

23 Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam.cz www.sweb.cz/nemocis Tel: 774 061 028


Stáhnout ppt "Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš."

Podobné prezentace


Reklamy Google