230 likes | 347 Views
Ochrana citlivých zdravotnických dat pacientů systém em řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004. Ing. Daniel Kardoš. Cíl. Seznámení se základními termíny. Seznámení se základními principy. Seznámení s klasifikací informací. Seznámení s hodnocením rizik.
E N D
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normyČSN/BS 7799-2:2004 Ing. Daniel Kardoš
Cíl • Seznámení se základními termíny. • Seznámení se základními principy. • Seznámení s klasifikací informací. • Seznámení s hodnocením rizik. • 10 hlavních skupin opatření. • Příklady. • Obsah úvodního školení.
Co je bezpečnost informací • Důvěrnost– zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, • integrita - zabezpečení správnosti a kompletnosti informací a metod zpracování, • dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.
Proč chránit informace ? • Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda. • Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí. • Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda. • Právo duševního vlastnictví. • Ochrana zneužitelných informací. • Ochrana osobních údajů.
Náklady na bezpečnost jsou nižší než náklady na sanaci škod Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti. • Cena informačních aktiv. • Škody, které mohou vzniknout. • Náklady na bezpečnostní opatření.
5 základních rovin ochrany informací • Dokument politiky bezpečnosti informací, • přidělení odpovědností v oblasti bezpečnosti informací, • vzdělávání a školení v oblasti bezpečnosti informací, • hlášení bezpečnostních incidentů, • řízení kontinuity podnikatelských činností.
10 oblasti BS 7799-2 • Politika bezpečnosti informací. • Organizace bezpečnosti informací. • Klasifikace a kontrola aktiv. • Personální bezpečnost. • Fyzická bezpečnost. • Řízení provozu. • Řízení přístupu. • Vývoj, údržba. • Kontinuita. • Soulad.
1) Politika bezpečnosti informací • Definice bezp. info, cíle, rozsah a důležitostí, • prohlášení vedení organizace, • stručný výklad zásad: • legislativních a smluvních požadavků, • vzdělávání v oblasti bezpečnosti, • zásady prevence a detekce virů, • zásady plánování kontinuity, • důsledky porušení bezpečnostních zásad, • odpovědnostzařízení, • hlášení bezpečnostních incidentů, • odkazy na související směrnice.
2) Organizace bezpečnosti informací • Infrastruktura bezpečnosti informací. • Fórum pro řízení bezpečnosti informací. • Odpovědnosti v oblasti bezpečnosti informací. • Spolupráce mezi organizacemi. • Identifikace rizik plynoucích z přístupu třetí strany.
3) Klasifikace a kontrola aktiv • Evidence aktiv a odpovědnost za aktiva. • Klasifikace informací, • pravidla klasifikace, • označování a nakládání s informacemi.
4) Personální bezpečnost • Bezpečnost a mlčenlivost v popisu práce. • Taktika prověřování uchazečů. • Podmínky výkonu pracovní činnosti. • Školení a vzdělávání uživatelů. • Hlášení bezpečnostních incidentů a slabin. • Hlášení chybného fungování programů. • Ponaučení z incidentů. • Disciplinární řízení.
5) Fyzická bezpečnost a bezpečnost prostředí • Fyzické bezpečnostní překážky budov a místnosti. • Kontroly vstupu osob. • Práce v bezpečných zónách. • Umístění zařízení a jeho ochrana, napájecí zdroje, bezpečnost kabeláže. • Údržba zařízení. • Bezpečnost zařízení mimo objekt. • Bezpečná likvidace nebo znovupoužití zařízení. • Zásada prázdného stolu a prázdné monitoru. • Vynášení majetku.
6) Správa komunikací a řízení provozu • Provozní postupy a odpovědnosti. • Plánování a akceptace systému. • Ochrana proti škodlivým programům. • Správa systému. • Správa sítě. • Bezpečnost při zacházení s médii. • Výměna informací a programů.
7) Řízení přístupu • Požadavky na řízení přístupu. • Řízení přístupu uživatelů. • Odpovědnosti uživatelů. • Řízení přístupu k síti. • Řízení přístupu k operačnímu systému. • Řízení přístupu k aplikacím. • Monitorování používání a přístupu k systému. • Mobilní prostředky a práce na dálku.
8) Vývoj a údržba systémů • Bezpečnostní požadavky na systémy. • Bezpečnost v aplikačních systémech. • Kryptografická opatření. • Bezpečnost systémových souborů. • Bezpečnost procesu vývoje a údržby.
9) Řízení kontinuity podnikatelských činností • Proces řízení kontinuity podnikatelských činností. • Kontinuita podnikatelských činností a analýza dopadů. • Vytváření a implementace plánů kontinuity. • Systém plánování kontinuity podnikatelských činností. • Testování, údržba a přehodnocování plánů kontinuity.
10) Soulad s požadavky • Určení odpovídajících právních norem, • zákony na ochranu duševního vlastnictví, • ochrana záznamů organizace, • ochrana osobních údajů a jejich důvěrnost. • Sběr důkazů. • Prověrka bezpečnostní politiky a technické shody. • Podmínky auditu systému.
PS SOI A 6.1.1 Povinnosti zaměstnanců: Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací. PS A 6.1.2 Povinnost personalisty: Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem) Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost) Ověří proklamované vzdělání, školení a odbornou kvalifikaci Provede prověření dvou dostatečných referencí, profesní a osobní Provede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestů Zajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam) Ověří všechny dokladované dokumenty Stejná pravidla platí při prověřování externích pracovníků. PS A 6.1.3 Povinnosti zaměstnanců, personalisty: Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument. PS A6.1.4 Povinnosti zaměstnanců, povinnosti organizace: Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností. Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizaceA 6.1.
Politika bezpečnosti informací • Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. • Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.
Povinnost chránit informace Z důvodů průkaznosti minimální úrovně ochrany: • zdravotnických informací pacientů, • osobních dat, • obchodních a jiných dokumentů, • efektivního řízení informací a informačních systémů, by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS 7799-2: 2004.
Úvodní školení – 3 hod. • Základní seznámení s požadavky normy BS 7799-2. • Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik, odhad škod. Požadavky normy - příklady řešení. • 10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení. • Ustanovení fóra bezpečnosti informací. • Úkoly, termíny, odpovědnosti.
Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam.cz www.sweb.cz/nemocis Tel: 774 061 028