140 likes | 240 Views
Sběr bezpečnostních auditních záznamů z činností vykonaných nad elektronickou zdravotnickou dokumentací. Ing. Daniel Kardoš, Ph.D. Systémy managementu bezpečnosti informací – Požadavky ČSN ISO/IEC 27001. 4.2.2 Zavádění a provozování ISMS
E N D
Sběr bezpečnostních auditních záznamů z činností vykonaných nad elektronickou zdravotnickou dokumentací Ing. Daniel Kardoš, Ph.D.
Systémy managementu bezpečnosti informací – Požadavky ČSN ISO/IEC 27001 4.2.2 Zavádění a provozování ISMS d) Určit jakým způsobem bude měřit účinnost vybraných opatření nebo skupin opatření 4.2.3 Monitorování a přezkoumání ISMS Organizace musí provést následující: a) Monitorovat, přezkoumávat a zavést další opatření: 1) pro včasnou detekci chyb zpracování; 2) pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů; 3) umožňující vedení organizace určit, zda bezpečnostní aktivity prováděné pověřenými osobami nebo pro které byly implementovány technologie, fungují podle očekávání; 4) umožňující detekci bezpečnostních událostí a zabránění tak vzniku bezpečnostních incidentů; a 5) umožňující vyhodnocení účinnosti činností podniknutých při narušení bezpečnosti. h) Zaznamenávat všechny činnosti a události, které by mohly mít dopad na účinnost nebo výkon ISMS 4.3.3 Řízení záznamů Vytvořeny a udržovány tak, aby poskytovaly důkaz. A.10.10 Monitorování Cíl: Detekovat neoprávněné zpracování informací
A.10.10 Monitorování Cíl: Detekovat neoprávněné zpracování informací. Systémy by měly být monitorovány a bezpečnostní události zaznamenávány. Pro zajištění včasné identifikace problémů informačních systémů by měl být používán operátorský deník a záznamy předchozích selhání. Veškeré aktivity související s monitorováním a zaznamenáváním událostí by měly být v souladu s relevantními zákonnými požadavky. Monitorování systému umožňuje kontrolování účinnosti přijatých opatření a ověření souladu s modelem politiky řízení přístupu.
A.10.10 Monitorování – opatření 1 10.10.1 Pořizování auditních záznamů Opatření Auditní záznamy, obsahující chybová hlášení a jiné bezpečnostně významné události, by měly být pořizovány a uchovány po stanovené období tak, aby se daly použít pro budoucí vyšetřování a pro účely monitorování řízení přístupu. Doporučení k realizaci Auditní záznamy by měly také obsahovat: a) identifikátory uživatelů (uživatelská ID); b) datum, čas a podrobnosti klíčových událostí, např. přihlášení a odhlášení; c) identifikátor terminálu nebo místa, pokud je to možné; d) záznam o úspěšných a odmítnutých pokusech o přístup k systému; e) záznam o úspěšných a odmítnutých pokusech o přístup k datům a jiným zdrojům; f) změny konfigurace systému; g) použití oprávnění; h) použití systémových nástrojů a aplikací; i) soubory, ke kterým bylo přistupováno, a typ přístupu; j) sítě, ke kterým bylo přistupováno, a použité protokoly; k) alarmy vyvolané systémy pro kontrolu přístupu; l) aktivaci a deaktivaci ochranných systémů, jako jsou antivirové systémy a systémy pro detekci průniku. Další informace Záznamy z auditu mohou obsahovat důvěrné osobní údaje. Měla by být přijata vhodná opatření na jejich ochranu (viz také 15.1.4). Pokud je to možné, neměli by systémoví administrátoři mít oprávnění vymazat záznamy anebo deaktivovat vytváření záznamů o své vlastní činnosti (viz 10.1.3).
A.10.10 Monitorování – opatření 2a 10.10.2 Monitorování používání systému Opatření Měla by být stanovena pravidla pro monitorování použití prostředků pro zpracování informací, výsledky těchto monitorování by měly být pravidelně přezkoumávány. Doporučení k realizaci Požadovaná úroveň monitorování jednotlivých prostředků by měla být stanovena na základě hodnocení rizik. Veškeré aktivity související s monitorováním událostí by měly být v souladu s relevantními zákonnými požadavky. Oblasti, které by se měly vzít v úvahu, jsou následující: a) neautorizovaný přístup, včetně informací jako: 1) uživatelské ID; 2) datum a čas klíčových událostí; 3) druh událostí; 4) soubory, ke kterým bylo přistupováno; 5) použité programy/nástroje; b) všechny privilegované operace, např.: 1) použití privilegovaných účtů, např. účtu supervisora, administrátora; 2) spuštění a ukončení systému; 3) připojení a odpojení vstupních/výstupních zařízení;
A.10.10 Monitorování – opatření 2b c) pokusy o neoprávněný přístup, např.: 1) neúspěšné nebo odmítnuté aktivity uživatelů; 2) neúspěšné nebo odmítnuté pokusy o přístup k datům nebo jiným zdrojům; 3) narušení přístupové politiky a upozornění od síťových bran a firewallů; 4) varování speciálních systémů pro detekci průniků; d) systémová varování nebo chyby, např.: 1) zprávy nebo varování z konzole; 2) výjimky v systémových záznamech; 3) alarmy správy sítě; 4) alarmy spuštěné systémy pro kontrolu přístupu; e) změny nebo pokusy o změnu bezpečnostních opatření nastavení bezpečnosti systému.
A.10.10 Monitorování – opatření 3 10.10.3 Ochrana vytvořených záznamů Opatření Zařízení pro zaznamenávání informací a vytvořené záznamy by měly být vhodným způsobem chráněny proti zfalšování a neoprávněnému přístupu. Doporučení k realizaci Opatření by se měla zaměřovat na ochranu proti neautorizovaným změnám a provozním problémům, včetně: a) úpravy zaznamenávaných druhů zpráv; b) editování nebo vymazání záznamů; c) nedostatečné kapacity médií pro záznamy a následné nezaznamenávání nebo přepisování předchozích událostí.
ISO/IEC 15408 Kritériapro hodnocení bezpečnosti IT Požadavky na záruky bezpečnosti - 3 Filozofií ISO/IEC 15408 je poskytnout záruku založenou na hodnocení (aktivním zkoumání) IT produktu nebo systému, který má být důvěryhodný. (kritéria hodnocení, míra záruky Bezpečnostní funkční požadavky - 2 Tato část ISO/IEC 15408 je katalogem bezpečnostních funkčních požadavků, které mohou být specifikovány pro Předmět hodnocení (TOE). TOE je produkt nebo systém IT (společně s dokumentací pro uživatele a správce, obsahující zdroje jako například elektronická paměťová média (například disky), periferní zařízení (například tiskárny) a výpočetní kapacity (například čas CPU), který může být využit pro zpracování a ukládání informací a je předmětem hodnocení. EAL - Míra záruky hodnoceni PP - Profil ochrany SF - Bezpečnostní funkce SFP - Bezpečnostní funkční politika SOF - Sila funkce ST - Bezpečnostní cil TOE - Předmět hodnoceni TSC - Rozsah kontroly TSF TSF - Bezpečnostní funkce TOE TSFI - Rozhraní TSF TSP - Bezpečnostní politika TOE
3.2 Generování dat bezpečnostního auditu (FAU_GEN) FAU_GEN.1 Generování dat auditu FAU_GEN.1.1 TSF musí být schopna generovat auditní záznam následujících auditovatelných událostí: a) započetí a ukončení auditních funkcí; b) všechny auditovatelné události pro [výběr: minimální, základní, podrobný, nespecifikovaný] úroveň auditu; c) [přiřazení: další specificky definované auditovatelné události]. FAU_GEN.1.2 TSF musí zaznamenat v každém auditním záznamu při nejmenším následující informace: a) Datum a čas události, typ události, identita subjektu a výsledek (úspěch nebo selhání) události; b) Pro každý typ události auditu, založený na definicích auditovatelné události funkčních komponent zahrnutých v PP/ST, [přiřazení: další informace týkající se auditu]. Závislosti: FPT_STM.1 Spolehlivá vyznačení času. FAU_GEN.2 Přidružení identity uživatele. FAU_GEN.2.1 TSF musí být schopná přidružit každou auditovatelnou událost k identitě uživatele, který událost způsobil. Závislosti: FAU_GEN.1 Generování auditních dat. FIA_UID.1 Načasování identifikace.
ISO/IEC 27799 Monitorování 7.7.10.1 Všeobecně Ze všech požadavků na ochranu osobních zdravotních informací jsou nejdůležitější ty, které souvisí s auditem a záznamem dat do auditního identifikačního záznamu. Zajišťují odpovědnost za subjekty péče, které svěřily své informace elektronickým zdravotnickým záznamovým systémům. Efektivní audit a záznam dat do identifikačních záznamů může pomoci odhalit zneužívání zdravotnických informačních systémů nebo osobních zdravotních informací. Tyto procesy mohou také pomoci organizacím a subjektům péče domoci se nápravy proti uživatelům, zneužívajícím svá přístupová privilegia. 7.7.10.2 Pořizování auditních záznamů Kromě pokynů v ISO/IEC 27002 by zdravotnické informační systémy měly vytvářet bezpečný auditní záznam pokaždé, když uživatel přistupuje k systému a jeho prostřednictvím vytváří, aktualizuje nebo archivuje osobní zdravotní informace. Auditní identifikační záznam (log) by měl jednoznačně identifikovat uživatele, jednoznačně identifikovat datový subjekt (tj. subjekt péče), identifikovat úkol prováděný uživatelem (vytvoření záznamu, přístup, aktualizace, atd.) a zaznamenat čas a datum, kdy byl tento úkol prováděn. Pokud jsou osobní zdravotní informace aktualizovány, záznam o předchozím obsahu dat a přidružený auditní záznam (tj. kdo vkládal data a datum, kdy to bylo) by měl být zachován. Systémy pro zasílání zpráv používané pro přenos zpráv obsahujících osobní zdravotní informace by měly uchovávat identifikační záznam o těchto přenosech (takový identifikační záznam by měl obsahovat čas, datum, původ a cíl zprávy, ale ne její obsah). Organizace by měla pečlivě posoudit a určit dobu uchovávání těchto auditních identifikačních záznamů se zvláštním zřetelem na klinické profesionální normy a zákonné povinnosti s cílem umožnit v případě potřeby provádění vyšetřování a poskytnout v případě potřeby důkaz o zneužití.
ISO/IEC 27799 Monitorování 7.7.10.3 Používání monitorovacího systému Kromě dodržování pokynů normy ISO/IEC 27002 by měl zdravotnický informační systém mít v provozu zařízení pro pořizování auditních identifikačních záznamů po celou dobu, po kterou je zdravotnický informační systém, který je auditován, dostupný pro použití. Zdravotnické informační systémy obsahující osobní zdravotní informace by měly být vybaveny takovými zařízeními pro analýzu auditních identifikačních záznamů a auditních záznamů, která: a) umožňují identifikaci všech uživatelů systému, kteří v daném časovém období uskutečnili přístup k záznamu(ům) danému subjektu péče nebo modifikovali záznam(y) daného subjektu péče; b) umožňují identifikaci všech subjektů péče, k jejichž záznamům byl v daném časovém období uskutečněnípřístup nebo které byly modifikovány daným uživatelem systému v daném časovém období. 7.7.10.4 Ochrana informací auditního identifikačního záznamu Auditní záznamy musí být bezpečné a odolné proti narušení. Přístup k auditním nástrojům systému a k auditním záznamům musí být zabezpečen proti zneužití nebo kompromitaci. Kromě pokynů stanovených ISO/IEC 27002 je důležité poznamenat, že průkazná integrita auditních záznamů může hrát klíčovou roli při soudních vyšetřováních koronery (úředními ohledávači mrtvol), vyšetřování lékařského zanedbání povinné péče a při dalších soudních nebo kvazisoudních řízeních. Jednání odborných zdravotnických pracovníků a načasování událostí jsou někdy určeny v takovýchto (právních) řízeních podrobným zkoumáním změn a aktualizací osobních zdravotních informací jednotlivce.
7 Podrobnosti auditního záznamu ISO/FDIS 27789 Health informaticsAudit trails forelectronichealthrecords