1 / 26

SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI

SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI. 26-28 MART 2008 Kızılcahamam. İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı. Sağlık Bakanlığı Veri ve Ağ Güvenlik Politikası. 1. Bilişimde Güvenlik Kavramı. 2. Risk Analizi. Güvenlik Politikası. 3.

tadita
Download Presentation

SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI 26-28 MART 2008 Kızılcahamam İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı

  2. Sağlık Bakanlığı Veri ve Ağ Güvenlik Politikası 1 Bilişimde Güvenlik Kavramı 2 Risk Analizi Güvenlik Politikası 3 Sağlık Bakanlığı Güvenlik Politikası 4 5 5 Mevzuat Çalışmasından Beklentiler

  3. Bilişimde Güvenlik Kavramı Güvenlik bir “KAVRAM”dır • “Mutlak gizlilikle” güvenlik sağlanmaz “security by obscurity” • Risk varsa güvenlik zorunludur • Güvenlik, kısmî olamaz, az güvenli sistem olmaz • Güvenliğin varlığı, risklere göre değerlendirilir (görecelidir)

  4. Bilişimde Güvenlik Kavramı Güvenliğin Unsurları • Güvenlik saldırısı: Bir kuruluşun bilgi güvenliği saygınlığını azaltır. Engelleme, dinleme, değiştirme ve yeniden oluşturma olarak 4 sınıf saldırı vardır. • Güvenlik Mekanizması: Bir güvenlik atağının anlaşılması, korunma veya onarımdır. • Güvenlik Servisi: Veri işleme sistemi ve kuruluşun bilgi iletim sisteminin güvenliğini artırma servisidir. Servis, güvenlik saldırılarını engeller ve çeşitli güvenlik mekanizması kullanır.

  5. Bilişimde Güvenlik Kavramı Veri ve ağ yönetimi

  6. Bilişimde Güvenlik Kavramı Güvenli Sistemin Özellikleri • Gizlilik (pasif saldırılara karşı) • Yekilendirme • Bütünlük • İnkar edilememe • Erişim denetimi • Kullanıma hazırlık

  7. Bilişimde Güvenlik Kavramı Risk yoksa güvenliğe gerek yok!

  8. Risk Analizi Analiz nasıl yapılır? • Ne tür varlıkları korumak gereklidir. • Bu varlıkları nelerden korumalıyız. • Ağa kim tehlikeli saldırı yapabilir ve ne kazanabilir. • Bir tehdidin varlıklarımızı bozma olasılığı ne kadardır. • Eğer bir tehlikeli saldırı olursa bunun ivedi maliyeti ne olacaktır. • Bir atak veya bozulmanın geri kazanma maliyeti ne olacaktır. • Bu varlıklar, etkin maliyet ile nasıl korunabilir.

  9. Risk Analizi Risk yoksa güvenliğe gerek yok • Korunacak varlıklar • Veriler • Gizlilik • Bütünlük • Kullanıma hazırlık • Kaynaklar • Zaman • Saygınlık

  10. Risk Analizi Saldırı türleri • Süreçsel saldırılar • Engelleme • Dinleme • Değiştirme • Oluşturma

  11. Risk Analizi Saldırı türleri • İşlemsel saldırılar

  12. Risk Analizi Saldırganlar belirlenir

  13. Risk Analizi Risklere karşı üç temel seçim vardır • Kabul: Eğer korunmasızlık çok küçük boyutlarda ve onu koruma altına almak büyük maliyet getiriyorsa, politikanız bu riskleri kabul edebilir. • Devretme: Bazı durumlarda riske karşı direk olarak koruma almaktansa onun için birini (kişi, kurum, firma) görevlendirmek. • Kaçınma: Güvenlik olaylarının neredeyse hiç olmayacağı yerleri korumaya almak maliyet getireceğinden bundan kaçınılmalıdır.

  14. Risk Analizi Dengeli maliyet. Saygınlığın maliyeti !

  15. Güvenlik Politikası Güvenlik Politikası: “Bilişimin güvenlik kanunu”

  16. Güvenlik Politikası İyi bir Güvenlik Politikası nasıldır? • Uygulanabilir olmalıdır • Paydaşlar tarafından kolaylıkla erişilebilmelidir. • Güvenlik hedefleri açıkça tanımlamalıdır. • Politikada açıklanan konular doğru bir şekilde tanımlanmalıdır. • Kuruluşun konumunu açıkça göstermelidir. • Politikanın savunmasını yapılmalıdır. • Politikanın ugulanma koşulları açıklamalıdır.

  17. Sağlık Bakanlığı Güvenlik Politikası Başbakanlık “Bilgi Sistem ve Ağları İçin Güvenlik Kültürü” konulu 2003/10 sayılı Genelgesi doğrultusunda; Sağlık Bakanlığı “Bilgi Güvenliği Politikası” 07 Ekim 2005 tarihinde tüm kurumlarımıza gönderilmiştir. Bilgi ve iletişim teknolojilerin gelişimi doğrultusunda “Bilgi Güvenliği Politikaları” güncellenmiş ve 17 Eylül 2007 tarihinde tüm kurumlarımıza gönderilmiştir. Çalışanlar için Bilgi Güvenliği Politikası Yöneticiler için Bilgi Güvenliği Politikası

  18. Sağlık Bakanlığı Güvenlik Politikası E-Posta Politikası Şifre Politikası Anti-virus politikası Ağ Yönetim Politikası İnternet Kullanım Politikası Genel Kullanım Politikası Toplam 6 ana başlıktan oluşmaktadır. Çalışanlar için Bilgi Güvenliği Politikası

  19. Sağlık Bakanlığı Güvenlik Politikası E-Posta Politikası Şifre Politikası Ağ Yönetim Politikası İnternet Erişim ve Kullanım Politikası Yazılım Geliştirme Kimlik doğrulama ve Yetkilendirme Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası … Toplam 28 ana başlıktan oluşmaktadır. Yöneticiler için Bilgi Güvenliği Politikası

  20. Sağlık Bakanlığı Güvenlik Politikası Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar (hastanın tedavisinden sorumlu sağlık personeli) ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Hastanın rızası olmadan hiçbir çalışan yazılı veya sözlü olarak hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Kurum, kritik bilgiye erişim hakkı olan çalışanlar ve firmalar ile gizlilik anlaşması imzalamalıdır ... Kişisel Sağlık Kayıtlarının Güvenliği Politikası

  21. Mevzuat Çalışmasından Beklentiler Bilişimin kendi “kanunları” zaten var • Güvenlik sertifikaları • Güvenlik standartları • Kurumsal güvenlik politikaları • Bilişim güvenliği sektörü • Bilişim güvenliği araçları • ... • Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

  22. Mevzuat Çalışmasından Beklentiler Bilişim gerekli teknik altapıya da sahip • E-imza • Veri standartları (USVS, MSVS, SKRS...) • Haberleşme standartları (HL7, IHE, IDE...) • Şifreleme standartları (SSL...) • Veritabanı ve sistem yönetim standartları • ... • Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

  23. Mevzuat Çalışmasından Beklentiler Cevap beklenen temel sorular... • Kişisel sağlık verisi nedir? Sağlık verisi sınıflandırılabilir mi? • Kimler, hangi şartlarda, hangi sağlık verilerin ve ne kadar süreyle erişebilir? • Kaydedilen veya erişilen veri ne kadar süre ve nerelerde saklanabilir? • Veriler hangi amaçlarla kullanılabilir? • Bu kurallarla ilgili istisnâlar nelerdir? • Kurallara uyulmaması halinde cezaî müeyyideler nelerdir?

  24. Mevzuat Çalışmasından Beklentiler Hukuk kurallara dayalıdır. Bilişim de öyle • Hukuk kurallara dayalı, ancak bu konuda “kural koymak” kolay değil: • Tıp, bir “SANAT”. Görecelik çok fazla. • Hangi doktor, hangi veriye erişecek? • Yoruma açık ifadeler, uygulamayı zorlaştırıyor • Ödeme kurumları, ödeme için sağlık verisine muhtaç mı?

  25. Mevzuat Çalışmasından Beklentiler Her hukuk kuralı uygulan(a)maz. Bilişimde de öyle  • Kurallardaki uygulama zorlukları (devam): • Hukukun ifade ettiği kurallar “GENEL” olmamalı • “Hastanın rızası” (patient consent) • “Somut gerekçeler” • “Sağlık kurumları” • Taraflardan beklenen farkındalık seviyesi çok yüksek (hasta hakları, hekim hakları...) • Kurallar gerekleri pratik hayata aktarılabilmeli (yazılı rıza, e-imza, e-kimlik kartı)

  26. TEŞEKKÜRLER Sorular...

More Related