EN ISO 27799:2006

MI'2007 12.4.20071

Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v

zdravstvenih zavodih v Sloveniji

Drago Rudel, MKS d.o.o.drago.rudel@mks.si

EN ISO 27799:2006

MI'2007 12.4.20072

PREDLOG ZdZZ

Predlog Združenja zdravstvenih zavodov Slovenije za nacionalni projekt pri Ministrstvu za zdravstvo v okviru projektov "eZdravje 2010" (30.1.2007):

"Skupen pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji"

Cilj: zagotoviti sistemsko podporo sodelujočim zdravstvenim organizacijam pri njihovih prizadevanjih za vzpostavitev sistema varovanja podatkov in informacij.

EN ISO 27799:2006

MI'2007 12.4.20073

VSEBINA

• oddan predlog nacionalnega projekta• zavedanje potrebe po varovanje informacij v SLO

zdravstvu • ZVOP-1, informacijska pooblaščenka in - izpolnitev

zakonskih zahtev• do varnosti informacij s skladnostjo s standardom za

upravljanje z varnostjo informacij • mednarodne in domače izkušnje s standardom• pobuda za projekt skupnega pristopa, razlogi in

model uresničitve• osnovni podatki predloga projekta

EN ISO 27799:2006

MI'2007 12.4.20074

ATRIBUTI PREDLAGANEGA PROJEKTA

Glede na klasifikacijo MZ ima predlog projekta ZdZZ naslednje lastnosti:

• spada med velike projekte• traja 48 mesecev• število sodelujočih organizacij >25• število aktivnosti > 300• število različnih tipov vključenih ZO >5• planirana sredstva > 400.000€

EN ISO 27799:2006

MI'2007 12.4.20075

POTENCIALNI SODELAVCI

IME INSTITUCIJE STATUS

Združenje zdravstvenih zavodov Slovenije Nosilec

Vse ZO članice ZdrZZ Slovenije Partner 1

MKS Elektronski sistemi d.o.o. (dr. Drago Rudel) Partner 2

Lekarniška zbornica Slovenije (mag. Andreja Čufar) Partner 3

Zdravniška zbornica Slovenije (Brane Dobnikar) Partner 4

Združenje socialnih zavodov Slovenije (Boris Koprivnikar)

Partner 5

Univerza v Ljubljani, Medicinska fakulteta, Inštitut za biomedicinsko informatiko (prof.dr. Janez Stare

Partner 6

Ustanova PROREC.SI, »Industrijski forum« (Leo Ciglenečki, Smiljana Slavec)

Partner 7

EN ISO 27799:2006

MI'2007 12.4.20076

VARNOSTNI IZZIVI

• Primer: Kaj narediti z e-potnim predalom, ko gre direktor v novo službo? Kaj z njegovo arhivirano pošto na varnostnih kopijah?

• Ali imamo pravilnik, kako uporabljati:– e-pošto, Internet– službeno informacijsko opremo (prenosni PC)?

• Kaj se sme, kaj ne? Kaj pa, če kršiš pravila?• Ravnanje z občutljivimi osebnimi podatki,

zaupnimi informacijami, dokumenti... (Kdo je posredoval info novinarju?)

EN ISO 27799:2006

MI'2007 12.4.20077

ZAVEDANJE POMEMBNOSTI INFORMACIJ V ZDRAVSTVU

• Dosedanje delo ZO na področju varovanja informacij• Strokovna srečanje SDMI

– "Varovanje informacij v zdravstvu", 2003 Slovenj Gradec– »E-zdravje za boljše zdravje v Sloveniji«, Zreče 2005

• Naloge Komisije za IS pri ZdZZS– svetovni standardi in priporočila – varnost informacijskih sistemov in podatkov– priprava predlogov internih IT standardov, predpisov in

priporočil– priprava predlogov skupne razvojne, varnostne in poslovne

politike• Svet za informatiko v zdravstvu pri MZ:

– Komisija za zdravstveno-informacijske standarde (varnost,...)

EN ISO 27799:2006

MI'2007 12.4.20078

SKLADNOST Z ZAKONOM

Zakon o varovanju osebnih podatkov – ZVOP-1(UL RS 86/04 in UL RS 113/05)

V skladu z 2.odstavkom 25. člena ZVOP-1 morajo vsi upravljavci osebnih podatkov v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo.

1. izdelati »Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov«2. zagotoviti njegovo izvajanje

S 1.10.2006 je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni.

• "Če obdelujete osebne podatke in ne sprejmete pravilnika o zavarovanju, vam Informacijski pooblaščenec lahko z odločbo prepove obdelavo osebnih podatkov, poleg tega pa vas lahko kaznuje z globo od 1.000.000 do 3.000.000 SIT. Za takšen prekršek se lahko kaznuje tudi odgovorna oseba pravne osebe in sicer v višini od 200.000 do 300.000 SIT".

EN ISO 27799:2006

MI'2007 12.4.20079

SKLADNOST Z ZAKONOM

Nezadostno zavarovanje osebnih podatkov  pacientov Kliničnega centra LJ.

Informacijski pooblaščenec izrekel globo(Ljubljana, 20. november 2006)

"Nepravilnosti na področju varovanja osebnih podatkov v Kliničnem centru Ljubljana pa so bile ugotovljene pri zavarovanju

osebnih podatkov pacientov ter možnosti dostopa do teh podatkov. Zaradi ugotovljenih nepravilnosti pri vodenju

evidenc vpogledov in dostopa do podatkov pacientov je Informacijski pooblaščenec odločil, da gre za

hudo kršitev na področju varovanja občutljivih osebnih podatkov".

EN ISO 27799:2006

MI'2007 12.4.200710

VAROVANJE OSEBNIH PODATKOV

Zaščita pravic posameznikov: • pacientov• zaposlenih• kupcev• dobaviteljev• ....da se preprečuje neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika (1. člen ZVOP-1)

EN ISO 27799:2006

MI'2007 12.4.200711

VAROVANJE INFORMACIJ

Varovanje informacij ima širši namen:zagotoviti normalno delo v ZO. To pomeni preprečevati:• operativno, poslovno in finančno tveganje• motnje ali prenehanje delovanja informacijskega

sistema• motnje v poslovanju (strošek?)• izguba podatkov• zloraba podatkov, virov informacij• izguba dobrega imena• (ne)izpolnjevanje zakonskih obveznosti

EN ISO 27799:2006

MI'2007 12.4.200712

IZVAJANJE UKREPOV INFORMACIJSKE VARNOSTI

Sprejemljivo tveganje pri varovanju informacij dosežemo z organizacijskim in tehničnim pristopom

PRISTOP100% tehnični0% tehnični

100% organizacijski 0% organizacijski

50%

50%

EN ISO 27799:2006

MI'2007 12.4.200713

DO VARNOSTI INFORMACIJ Z MEDNARODNIM STANDARDOM

POMOČ: mednarodni standardi• HISA, HIPAA, HL7, ISO 11073 –

zdravstvena informatika• ISO 9000 – upravljanje kakovosti• ISO 14000 – upravljanje z okoljem• ISO 18000 – upravljanje za zdravje zaposlenih• ISO 27000 – upravljanje z varnostjo

informacij (prej ISO/IEC 17799)

• EN ISO 27799 - upravljanje z varnostjoinformacij v zdravstvu

EN ISO 27799:2006

MI'2007 12.4.200714

DO VARNOSTI INFORMACIJ S STANDARDOM ISO 27001

ISO 27001:2005

Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS)

Uvajanje SUVISUVI pomeni notranjo ureditev poslovanja, ne zgolj izdelavo pravilnikov.

ISO 27001:2005 je nadgrajen ISO/IEC 17799:2005.

EN ISO 27799:2006

MI'2007 12.4.200715

PODROČJA ISO 27001:2005

1. Organizacija informacijske varnosti2.   Klasifikacija informacij in podatkov 3.   Nadzor dostopa do informacij in sistemov4.   Obdelava informacij in dokumentov5.   Nakup in vzdrževanje kupljene programske opreme 6.   Naprave za varovanje, periferne naprave in druga oprema 7.   Boj proti informacijskemu/računalniškemu kriminalu 8.   Varnost e-poslovanja9. Razvoj in vzdrževanje lastne programske opreme10. Varnost poslovnih prostorov11. Osebne zadeve in varnost12. Usklajenost z zakonodajo in predpisi13. Odkrivanje in odziv na varnostne incidente14. Načrtovanje neprekinjenega poslovanja

Bold: vsebovano tudi v ZVOP-1

EN ISO 27799:2006

MI'2007 12.4.200716

DO VARNOSTI INFORMACIJ S STANDARDOM EN ISO 27799

EN ISO 27799:2006Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) v zdravstvu•EN ISO 27799:2006 temelji na ISO/IEC 17799 (BS 7799-2). •Cilj: zagotavljati skladnost zdravstvenih organizacij s standardom (s preverjanjem, vendar brez certificiranja!)

EN ISO 27799:2006

MI'2007 12.4.200717

POGLAVJA EN ISO 27799:2006

• Foreword • Introduction• 1 Scope • 2 Normative references• 3 Terms and definitions • 4 Symbols (and abbreviated terms) • 5 Health information security• 6 Practical action plan for implementing ISO/IEC 17799 • 7 Healthcare implications of ISO/IEC 17799• Annex A Threats to health information security• Annex B Tasks and related documents of the Information

Security Management System• Annex C Potential benefits and required attributes of

support tools (informative) • Annex D Related standards in health information security

(informative)• Bibliography

EN ISO 27799:2006

MI'2007 12.4.200718

• varnost je potrebno upravljati• varnostna politika usklajena s poslovnimi cilji • varnost gledana s stališča zagotavljanja

neprekinjenega delovanja• vrednost informacij je ocenjena v luči škode, ki jo

povzroči uresničena grožnja• poudarjena osebna zavezanost vodstva za

uresničevanje vseh faz varnostne politike• zajete vse vrst informacij (papir, elektronske,

govorjene, prikazane • poudarjen pomen trajnega izobraževanja za

zagotavljanje varnosti s strani vseh zaposlenih.

POSLOVNA NARAVNANOST

EN ISO 27799:2006

MI'2007 12.4.200719

NEKATERI UČINKI UVEDBE SUVI

1) izpolnjevanje zakonodaje in predpisov2) zahteve EU glede varovanja podatkov/informacij – kmalu

nasvidenje!3) povečan ugled v očeh bolnikov, javnosti in poslovnih

partnerjev 4) boljše poznavanje in obvladovanje poslovnih tveganj, ki jih

prinašajo varnostni incidenti5) preventivno delo zmanjšuje učinke varnostnih incidentov ter

enostavneje zagotavljanje neprekinjenega delovnega procesa

6) zmanjšani stroški odprave posledic varnostnih incidentov 7) upravljanje z varnostjo olajša načrtovanje investicij v IS in

zmanjšuje stroške

EN ISO 27799:2006

MI'2007 12.4.200720

DOKUMENTI UVAJANJA SUVI

NAVODILA,NORMATIVI,POSTOPKI...

POSLOVNIK

PODROČNEPOLITIKE

KROVNA VARNOSTNAPOLITIKA

PODROČNAPOLITIKA 1(Pravilnik 1)

PODROČNAPOLITIKA 2(Pravilnik 2)

PODROČNAPOLITIKA N(Pravilnik N)

ISO 27001:2005 – SUVI je dokumentiran proces

EN ISO 27799:2006

MI'2007 12.4.200721

PRIMERI VARNOSTNIH POLITIK

• varovanje v zvezi z osebjem• dodeljevanje gesel in nadzor dostopa• uporaba Interneta • uporaba elektronske pošte• prenosljiva komunikacijska in računalniška opreme • delo na daljavo• zaščita pred zlonamerno programsko opremo• obravnava varnostnih incidentov• uničevanje nosilcev informacij• posredovanja osebnih podatkov

– izven ustanove– znotraj ustanove

EN ISO 27799:2006

MI'2007 12.4.200722

PRIMERI NAVODIL

• Navodilo o iznosu informacijskih sredstev iz ustanove

• Navodila za namestitev nove programske in strojne opreme IS v ustanovi

• Navodilo o označevanju dokumentov• Navodilo o ravnanje ob varnostnem incidentu• Navodilo o poročanju o dostopih do baze podatkov

o pacientih• Navodila za izločanje nosilcev informacij• .....

EN ISO 27799:2006

MI'2007 12.4.200723

PRIMER UREJENOSTI DOKUMENTACIJE SUVI

Organ. enota

Področje varovanja Dokument - naziv

Vrsta dokumenta

Lokacija - arhiv

Odgov. oseba

SPS Interna klinika

ISO27001-7.1 Dostop do IT sredstev

Politika RC IK Janez Zalar

SPS Interna klinika

ISO27001-7.1.4 Zaščita pred cyber kriminalom

Navodilo ob incidentu

RC IK – Navodila operaterjem

Radko Tvrdy

SPS Interna klinika

SO27001-7.5. Nakup/nadgradnja in namestitev SW

Varnostne politike

RC IK Borut Lavrič

EN ISO 27799:2006

MI'2007 12.4.200724

ZDRAVSTVO - MEDNARODNE IZKUŠNJE

Velika Britanija• NHS-National Health Service uporablja ISO/IEC17799:2000. Cilj - v nekaj letih se vse zdravstvene organizacije v sistemu NHS (tudi

splošni zdravniki), ki želijo imeti dostop do podatkov o pacientih v elektronski obliki (EHR - elektronski zdravstveni zapis) certificirajo(!) po standardu ISO/IEC17799-2.

• Izvajajo dvofazne pilotne projekte uvajanja v več pokrajinah UK• NHS organizira in sponzorira izvajanje seminarjev po UK za top NHS

menedžmentFrancija, Nizozemska, Nemčija, Norveška, Belgija,

Švedska – uvajanje ISO 17799 v zdravstvo + delo v CEN/TC 251 WG3 ter ISO TC 215 WG4

Avstralija & Nova Zelandija• navodila za implementacijo ISO/IEC17799 za zdravstvene ustanove!

EN ISO 27799:2006

MI'2007 12.4.200725

SLOVENSKE IZKUŠNJE

»Slovenski«SIST standardi:• SIST ISO/IEC 17799:2003 - Informacijska tehnologija – Kodeks

upravljanja varovanja informacij • SIST BS7799-2:2003 - Sistemi za upravljanje varovanja informacij –

Specifikacija z napotki za uporabo• oSIST prEN ISO 27799:2006 – Zdravstvena informatika – Upravljanje

varovanja informacij v zdravstvu z uporabo ISO/IEC 17799

Vlada RS - 2002: • navodilo vsem državnim organom, da uvajajo SUVI, kot ga definira

standard BS7799 v skladu s "Priporočila za pripravo informacijske varnostne politike. CVI, 2002".

Banka Slovenije:• PSIST BS-7799-1995 kot merilo zagotavljanja varnosti informacij v

slovenskem bančništvu.ZZV Celje, ZZV Novo mesto

EN ISO 27799:2006

MI'2007 12.4.200726

PREDLOG PROJEKTA ZdZZ

Predlog projekta Min. za zdravje:

»Skupni pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih

zavodih v Sloveniji«

EN ISO 27799:2006

MI'2007 12.4.200727

PREDLOG PROJEKTA ZdZZ

1. Skupen pristop ZO (članic ZdZZ) k uvajanju SUVI, da se zagotovi varovanje informacij s sprejemljivim nivojem tveganja, ki bo omogočalo varno delo in varno izmenjavo podatkov in informacij med ZO.

2. Vse ZO oblikujejo poenoteno celostno politiko upravljanja z varnostjo informacij po priporočilih mednarodnega standarda ISO 27799.

3. Zagotavljanje skladnosti naj bo pogoj za vključitev ZO v nacionalni sistem elektronske izmenjave zdravstvenih podatkov.

EN ISO 27799:2006

MI'2007 12.4.200728

RAZLOGI ZA SKUPEN PRISTOP

• dogovorjena skupna merila informacijske varnosti• sinergijski učinek - skupen napor vseh ZO (skupni

dokumenti, pristopi...)• učinkovitost uvajanja – proces uvajanja teče vzporedno

(ni ponavljanja korakov za vsako ZO posebej)• zmanjšanje potrebnih investicijskih sredstev• zagotavljanje skladnosti na nacionalni ravni• ustvarjanje možnosti za povezovanje ZO v

organizacijsko povezane enote v regijah, ki bi uporabljale skupno informacijsko infrastrukturo.

EN ISO 27799:2006

MI'2007 12.4.200729

URESNIČEVANJE PREDLOGA

CILJ: v 4 letih vse ZO dokumentirano upravljajo z varnostjo informacij

Nosilec: Združenje zdravstvenih zavodov SlovenijeNaročnik –financer: Min. za zdravje RS ("eZdravje 2010")Sofinanserji: sodelujoče zdravstvene organizacijeIzvajalci:

– nosilec – partnerji na projektu– zunanji izvajalci in svetovalci – notranji izvajalci v posameznih ZO

Presojevalec: organ pooblaščen s strani Min. za zdravje

EN ISO 27799:2006

MI'2007 12.4.200730

MODEL IZVEDBE PROJEKTA

ZUNANJISVETOVALCI

VEČJIDOBAVITELJI

spletnie-forum

REG.ODBOR N

ZO1 ZO2 ZOn

PRESOJEVALNIORGAN

DRUGIPARTNERJI

bolniki

uporabniki

REG.ODBOR 1

ZO1 ZO2 ZOn

Zdr.ZZS

ZUNANJI VIRIIZOBRAŽEV.

LEKARNE

MIN. ZAZDRAVJE

bolniki

uporabniki

bolniki

uporabniki

bolniki

uporabniki

bolniki

uporabniki

bolniki

uporabniki

EN ISO 27799:2006

MI'2007 12.4.200731

FAZE PROJEKTA

I. pripravljalne in promocijske aktivnostiII. skupne aktivnosti vseh sodelujočih ZO

po regijah (delavnice, generični dokumenti...)III. pilotna aplikacija in analiza rezultatovIV. izvedbene aktivnosti po regijahV. implementacija rezultatov projekta v

posamezni ZO (izdelava delovnih dokumentov

posameznih ZO, revizija, svetovanje)VI. preverjanje skladnosti v ZOVII. zaključne aktivnosti

EN ISO 27799:2006

MI'2007 12.4.200732

POTEK IMPLEMENTACIJE - IZVEDBA

ZDRAVSTVENIDOMOVI BOLNIŠNICE

drugeZDRAVSTVENEORGANIZACIJE

REGIJA1

REGIJA1

REGIJAn

REGIJA1

REGIJAn

REGIJAn

ZD1

ZDn

ZD1

ZDn

ZZV1

ZZVnH1

H n

UVAJANJE

H1

H n

POSLOVNIPARTNERJI

lekarnedobavitelji

PACIENTI

PILOTNA APLIKACIJA

EN ISO 27799:2006

MI'2007 12.4.200733

UVEDBA SUVI - INVESTICIJA

Trajanje projekta: 48 mesecev

Obseg dela: 736 človek/mesecev = 16.000 človek/dni = 128.000 ur

Skupni strošek dela: 3.841.920 €Lastni delež ZO: 54,0% - stroški lastnega dela

(400 MM) = 2.088.000 €Podpora SIZ/MZ: 46% stroškov dela + oprema

= 1.775.920 €

EN ISO 27799:2006

MI'2007 12.4.200734

SKLADNOST PREDLOGA

1. Pobuda je skladna s priporočili Slovenskega društva za med.informatiko SDMI ("Ena ključnih nalog organa za usklajevanje razvoja zdravstvene informatike so varnostni standardi – oblikovati je potrebno generične modele varnosti za posamezne vrste izvajalcev sledeč mednarodnim standardom.")

2. Predlog je skladen s pričakovanji Komisije za IS pri ZdZZ o ureditvi razmer na področju varovanja.

3. Min. za zdravje – Sklep o imenovanju Odbora za zdravstveno informacijske standarde pri Svetu za inf. v zdravstvu (27.11.2006) (področje dela OZIS tudi procesno: zaščita, varnost in kakovost)

EN ISO 27799:2006

MI'2007 12.4.200735

SUVI – TRAJEN PROCES

NAČRTAJ(PRIPRAVI)

IZDELAJ(UVEDI)

PREVERJAJ

IZBOLJŠUJ

PDCA model - Demingov krog

EN ISO 27799:2006

MI'2007 12.4.200736

drago.rudel@mks.si

HVALA ZA POZORNOST,

VABLJENI K URESNIČEVANJU POBUDE