360 likes | 633 Views
Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji. Drago Rudel, MKS d.o.o. drago.rudel@mks.si. PREDLOG ZdZZ.
E N D
Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si
PREDLOG ZdZZ Predlog Združenja zdravstvenih zavodov Slovenije za nacionalni projekt pri Ministrstvu za zdravstvo v okviru projektov "eZdravje 2010" (30.1.2007): "Skupen pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji" Cilj: zagotoviti sistemsko podporo sodelujočim zdravstvenim organizacijam pri njihovih prizadevanjih za vzpostavitev sistema varovanja podatkov in informacij.
VSEBINA • oddan predlog nacionalnega projekta • zavedanje potrebe po varovanje informacij v SLO zdravstvu • ZVOP-1, informacijska pooblaščenka in - izpolnitev zakonskih zahtev • do varnosti informacij s skladnostjo s standardom za upravljanje z varnostjo informacij • mednarodne in domače izkušnje s standardom • pobuda za projekt skupnega pristopa, razlogi in model uresničitve • osnovni podatki predloga projekta
ATRIBUTI PREDLAGANEGA PROJEKTA Glede na klasifikacijo MZ ima predlog projekta ZdZZ naslednje lastnosti: • spada med velike projekte • traja 48 mesecev • število sodelujočih organizacij >25 • število aktivnosti > 300 • število različnih tipov vključenih ZO >5 • planirana sredstva > 400.000€
VARNOSTNI IZZIVI • Primer: Kaj narediti z e-potnim predalom, ko gre direktor v novo službo? Kaj z njegovo arhivirano pošto na varnostnih kopijah? • Ali imamo pravilnik, kako uporabljati: • e-pošto, Internet • službeno informacijsko opremo (prenosni PC)? • Kaj se sme, kaj ne? Kaj pa, če kršiš pravila? • Ravnanje z občutljivimi osebnimi podatki, zaupnimi informacijami, dokumenti... (Kdo je posredoval info novinarju?)
ZAVEDANJE POMEMBNOSTI INFORMACIJ V ZDRAVSTVU • Dosedanje delo ZO na področju varovanja informacij • Strokovna srečanje SDMI • "Varovanje informacij v zdravstvu", 2003 Slovenj Gradec • »E-zdravje za boljše zdravje v Sloveniji«, Zreče 2005 • Naloge Komisije za IS pri ZdZZS • svetovni standardi in priporočila • varnost informacijskih sistemov in podatkov • priprava predlogov internih IT standardov, predpisov in priporočil • priprava predlogov skupne razvojne, varnostne in poslovne politike • Svet za informatiko v zdravstvu pri MZ: • Komisija za zdravstveno-informacijske standarde (varnost,...)
SKLADNOST Z ZAKONOM Zakon o varovanju osebnih podatkov – ZVOP-1 (UL RS 86/04 in UL RS 113/05) V skladu z 2.odstavkom 25. člena ZVOP-1 morajo vsi upravljavci osebnih podatkov v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo. 1. izdelati »Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov« 2. zagotoviti njegovo izvajanje S 1.10.2006 je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni. • "Če obdelujete osebne podatke in ne sprejmete pravilnika o zavarovanju, vam Informacijski pooblaščenec lahko z odločbo prepove obdelavo osebnih podatkov, poleg tega pa vas lahko kaznuje z globo od 1.000.000 do 3.000.000 SIT. Za takšen prekršek se lahko kaznuje tudi odgovorna oseba pravne osebe in sicer v višini od 200.000 do 300.000 SIT".
SKLADNOST Z ZAKONOM Nezadostno zavarovanje osebnih podatkov pacientov Kliničnega centra LJ. Informacijski pooblaščenec izrekel globo (Ljubljana, 20. november 2006) "Nepravilnosti na področju varovanja osebnih podatkov v Kliničnem centru Ljubljana pa so bile ugotovljene pri zavarovanju osebnih podatkov pacientov ter možnosti dostopa do teh podatkov. Zaradi ugotovljenih nepravilnosti pri vodenju evidenc vpogledov in dostopa do podatkov pacientovje Informacijski pooblaščenec odločil, da gre za hudo kršitev na področju varovanja občutljivih osebnih podatkov".
VAROVANJE OSEBNIH PODATKOV Zaščita pravic posameznikov: • pacientov • zaposlenih • kupcev • dobaviteljev • .... da se preprečuje neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika (1. člen ZVOP-1)
VAROVANJE INFORMACIJ Varovanje informacij ima širši namen: zagotoviti normalno delo v ZO. To pomeni preprečevati: • operativno, poslovno in finančno tveganje • motnje ali prenehanje delovanja informacijskega sistema • motnje v poslovanju (strošek?) • izguba podatkov • zloraba podatkov, virov informacij • izguba dobrega imena • (ne)izpolnjevanje zakonskih obveznosti
IZVAJANJE UKREPOV INFORMACIJSKE VARNOSTI • Sprejemljivo tveganje pri varovanju informacij dosežemo z organizacijskim in tehničnim pristopom 50% 0% tehnični 100% tehnični PRISTOP 0% organizacijski 100% organizacijski 50%
DO VARNOSTI INFORMACIJ Z MEDNARODNIM STANDARDOM POMOČ: mednarodni standardi • HISA, HIPAA, HL7, ISO 11073 – zdravstvena informatika • ISO 9000 – upravljanje kakovosti • ISO 14000 – upravljanje z okoljem • ISO 18000 – upravljanje za zdravje zaposlenih • ISO 27000 – upravljanje z varnostjo informacij (prej ISO/IEC 17799) • EN ISO 27799 - upravljanje z varnostjo informacij v zdravstvu
DO VARNOSTI INFORMACIJ S STANDARDOM ISO 27001 ISO 27001:2005 Vzpostaviti Sistem Upravljanja z Varnostjo Informacij– SUVI (ISMS) Uvajanje SUVIpomeni notranjo ureditev poslovanja, ne zgolj izdelavo pravilnikov. ISO 27001:2005 je nadgrajen ISO/IEC 17799:2005.
PODROČJA ISO 27001:2005 1. Organizacija informacijske varnosti 2. Klasifikacija informacij in podatkov 3. Nadzor dostopa do informacij in sistemov 4. Obdelava informacij in dokumentov 5. Nakup in vzdrževanje kupljene programske opreme 6. Naprave za varovanje, periferne naprave in druga oprema 7. Boj proti informacijskemu/računalniškemu kriminalu 8. Varnost e-poslovanja • Razvoj in vzdrževanje lastne programske opreme • Varnost poslovnih prostorov • Osebne zadeve in varnost • Usklajenost z zakonodajo in predpisi • Odkrivanje in odziv na varnostne incidente • Načrtovanje neprekinjenega poslovanja Bold: vsebovano tudi v ZVOP-1
DO VARNOSTI INFORMACIJ S STANDARDOM EN ISO 27799 EN ISO 27799:2006 Vzpostaviti Sistem Upravljanja z Varnostjo Informacij– SUVI (ISMS) v zdravstvu • EN ISO 27799:2006 temelji na ISO/IEC 17799 (BS 7799-2). • Cilj: zagotavljati skladnost zdravstvenih organizacij s standardom (s preverjanjem, vendar brez certificiranja!)
POGLAVJA EN ISO 27799:2006 • Foreword • Introduction • 1 Scope • 2 Normative references • 3 Terms and definitions • 4 Symbols (and abbreviated terms) • 5 Health information security • 6 Practical action plan for implementing ISO/IEC 17799 • 7 Healthcare implications of ISO/IEC 17799 • Annex A Threats to health information security • Annex B Tasks and related documents of the Information Security Management System • Annex C Potential benefits and required attributes of support tools (informative) • Annex D Related standards in health information security (informative) • Bibliography
POSLOVNA NARAVNANOST • varnost je potrebno upravljati • varnostna politika usklajena s poslovnimi cilji • varnost gledana s stališča zagotavljanja neprekinjenega delovanja • vrednost informacij je ocenjena v luči škode, ki jo povzroči uresničena grožnja • poudarjena osebna zavezanost vodstva za uresničevanje vseh faz varnostne politike • zajete vse vrst informacij(papir, elektronske, govorjene, prikazane • poudarjen pomen trajnega izobraževanja za zagotavljanje varnosti s strani vseh zaposlenih.
NEKATERI UČINKI UVEDBE SUVI 1)izpolnjevanje zakonodajein predpisov 2)zahteve EU glede varovanja podatkov/informacij – kmalu nasvidenje! 3) povečan ugled v očeh bolnikov, javnosti in poslovnih partnerjev 4) boljše poznavanje in obvladovanje poslovnih tveganj, ki jih prinašajo varnostni incidenti 5) preventivno delo zmanjšuje učinke varnostnih incidentov ter enostavneje zagotavljanje neprekinjenega delovnega procesa 6) zmanjšani stroški odprave posledic varnostnih incidentov 7) upravljanje z varnostjo olajša načrtovanje investicij v IS in zmanjšuje stroške
DOKUMENTI UVAJANJA SUVI ISO 27001:2005 – SUVI je dokumentiran proces
PRIMERI VARNOSTNIH POLITIK • varovanje v zvezi z osebjem • dodeljevanje gesel in nadzor dostopa • uporaba Interneta • uporaba elektronske pošte • prenosljiva komunikacijska in računalniška opreme • delo na daljavo • zaščita pred zlonamerno programsko opremo • obravnava varnostnih incidentov • uničevanje nosilcev informacij • posredovanja osebnih podatkov • izven ustanove • znotraj ustanove
PRIMERINAVODIL • Navodilo o iznosu informacijskih sredstev iz ustanove • Navodila za namestitev nove programske in strojne opreme IS v ustanovi • Navodilo o označevanju dokumentov • Navodilo o ravnanje ob varnostnem incidentu • Navodilo o poročanju o dostopih do baze podatkov o pacientih • Navodila za izločanje nosilcev informacij • .....
ZDRAVSTVO - MEDNARODNE IZKUŠNJE Velika Britanija • NHS-National Health Service uporablja ISO/IEC17799:2000. Cilj - v nekaj letih se vse zdravstvene organizacije v sistemu NHS (tudi splošni zdravniki), ki želijo imeti dostop do podatkov o pacientih v elektronski obliki (EHR - elektronski zdravstveni zapis) certificirajo(!) po standarduISO/IEC17799-2. • Izvajajo dvofazne pilotne projekte uvajanja v več pokrajinah UK • NHS organizira in sponzorira izvajanje seminarjev po UK za top NHS menedžment Francija, Nizozemska, Nemčija, Norveška, Belgija, Švedska – uvajanje ISO 17799 v zdravstvo + delo v CEN/TC 251 WG3 ter ISO TC 215 WG4 Avstralija & Nova Zelandija • navodila za implementacijo ISO/IEC17799 za zdravstvene ustanove!
SLOVENSKE IZKUŠNJE »Slovenski«SIST standardi: • SIST ISO/IEC 17799:2003 - Informacijska tehnologija – Kodeks upravljanja varovanja informacij • SIST BS7799-2:2003 - Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo • oSIST prEN ISO 27799:2006 – Zdravstvena informatika – Upravljanje varovanja informacij v zdravstvu z uporabo ISO/IEC 17799 Vlada RS - 2002: • navodilo vsem državnim organom, da uvajajo SUVI, kot ga definira standard BS7799 v skladu s "Priporočila za pripravo informacijske varnostne politike. CVI, 2002". Banka Slovenije: • PSIST BS-7799-1995 kot merilo zagotavljanja varnosti informacij v slovenskem bančništvu. ZZV Celje, ZZV Novo mesto
PREDLOG PROJEKTA ZdZZ Predlog projekta Min. za zdravje: »Skupni pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji«
PREDLOG PROJEKTA ZdZZ • Skupen pristop ZO (članic ZdZZ) k uvajanju SUVI, da se zagotovi varovanje informacij s sprejemljivim nivojem tveganja, ki bo omogočalo varno delo in varno izmenjavo podatkov in informacij med ZO. • Vse ZO oblikujejo poenoteno celostno politiko upravljanja z varnostjo informacij po priporočilih mednarodnega standarda ISO 27799. • Zagotavljanje skladnosti naj bopogoj za vključitev ZO v nacionalni sistem elektronske izmenjave zdravstvenih podatkov.
RAZLOGIZASKUPENPRISTOP • dogovorjena skupna merila informacijske varnosti • sinergijski učinek- skupen napor vseh ZO (skupni dokumenti, pristopi...) • učinkovitost uvajanja – proces uvajanja teče vzporedno (ni ponavljanja korakov za vsako ZO posebej) • zmanjšanje potrebnih investicijskih sredstev • zagotavljanje skladnosti na nacionalni ravni • ustvarjanje možnosti za povezovanje ZOv organizacijsko povezane enote v regijah, ki bi uporabljale skupno informacijsko infrastrukturo.
URESNIČEVANJEPREDLOGA CILJ: v 4 letih vse ZO dokumentirano upravljajo z varnostjo informacij Nosilec:Združenje zdravstvenih zavodov Slovenije Naročnik –financer: Min. za zdravje RS ("eZdravje 2010") Sofinanserji: sodelujoče zdravstvene organizacije Izvajalci: • nosilec • partnerji na projektu • zunanji izvajalci in svetovalci • notranji izvajalci v posameznih ZO Presojevalec: organ pooblaščen s strani Min. za zdravje
FAZE PROJEKTA I. pripravljalne in promocijske aktivnosti II. skupne aktivnosti vseh sodelujočih ZO po regijah (delavnice, generični dokumenti...) III. pilotna aplikacija in analiza rezultatov IV. izvedbene aktivnosti po regijah V. implementacija rezultatov projekta v posamezni ZO (izdelava delovnih dokumentov posameznih ZO, revizija, svetovanje) VI. preverjanje skladnosti v ZO VII. zaključne aktivnosti
SKLADNOST PREDLOGA • Pobuda je skladna s priporočili Slovenskega društva za med.informatiko SDMI ("Ena ključnih nalog organa za usklajevanje razvoja zdravstvene informatike so varnostni standardi – oblikovati je potrebno generične modele varnosti za posamezne vrste izvajalcev sledeč mednarodnim standardom.") • Predlog je skladen s pričakovanji Komisije za IS pri ZdZZ o ureditvi razmer na področju varovanja. • Min. za zdravje – Sklep o imenovanju Odbora za zdravstveno informacijske standarde pri Svetu za inf. v zdravstvu (27.11.2006) (področje dela OZIS tudi procesno: zaščita, varnost in kakovost)
SUVI – TRAJEN PROCES NAČRTAJ (PRIPRAVI) IZBOLJŠUJ IZDELAJ (UVEDI) PREVERJAJ PDCA model - Demingov krog
drago.rudel@mks.si HVALA ZA POZORNOST, VABLJENI K URESNIČEVANJU POBUDE