Drago Rudel, MKS d.o.o. [email protected]
description
Transcript of Drago Rudel, MKS d.o.o. [email protected]
EN ISO 27799:2006
MI'2007 12.4.20071
Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v
zdravstvenih zavodih v Sloveniji
Drago Rudel, MKS [email protected]
EN ISO 27799:2006
MI'2007 12.4.20072
PREDLOG ZdZZ
Predlog Združenja zdravstvenih zavodov Slovenije za nacionalni projekt pri Ministrstvu za zdravstvo v okviru projektov "eZdravje 2010" (30.1.2007):
"Skupen pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji"
Cilj: zagotoviti sistemsko podporo sodelujočim zdravstvenim organizacijam pri njihovih prizadevanjih za vzpostavitev sistema varovanja podatkov in informacij.
EN ISO 27799:2006
MI'2007 12.4.20073
VSEBINA
• oddan predlog nacionalnega projekta• zavedanje potrebe po varovanje informacij v SLO
zdravstvu • ZVOP-1, informacijska pooblaščenka in - izpolnitev
zakonskih zahtev• do varnosti informacij s skladnostjo s standardom za
upravljanje z varnostjo informacij • mednarodne in domače izkušnje s standardom• pobuda za projekt skupnega pristopa, razlogi in
model uresničitve• osnovni podatki predloga projekta
EN ISO 27799:2006
MI'2007 12.4.20074
ATRIBUTI PREDLAGANEGA PROJEKTA
Glede na klasifikacijo MZ ima predlog projekta ZdZZ naslednje lastnosti:
• spada med velike projekte• traja 48 mesecev• število sodelujočih organizacij >25• število aktivnosti > 300• število različnih tipov vključenih ZO >5• planirana sredstva > 400.000€
EN ISO 27799:2006
MI'2007 12.4.20075
POTENCIALNI SODELAVCI
IME INSTITUCIJE STATUS
Združenje zdravstvenih zavodov Slovenije Nosilec
Vse ZO članice ZdrZZ Slovenije Partner 1
MKS Elektronski sistemi d.o.o. (dr. Drago Rudel) Partner 2
Lekarniška zbornica Slovenije (mag. Andreja Čufar) Partner 3
Zdravniška zbornica Slovenije (Brane Dobnikar) Partner 4
Združenje socialnih zavodov Slovenije (Boris Koprivnikar)
Partner 5
Univerza v Ljubljani, Medicinska fakulteta, Inštitut za biomedicinsko informatiko (prof.dr. Janez Stare
Partner 6
Ustanova PROREC.SI, »Industrijski forum« (Leo Ciglenečki, Smiljana Slavec)
Partner 7
EN ISO 27799:2006
MI'2007 12.4.20076
VARNOSTNI IZZIVI
• Primer: Kaj narediti z e-potnim predalom, ko gre direktor v novo službo? Kaj z njegovo arhivirano pošto na varnostnih kopijah?
• Ali imamo pravilnik, kako uporabljati:– e-pošto, Internet– službeno informacijsko opremo (prenosni PC)?
• Kaj se sme, kaj ne? Kaj pa, če kršiš pravila?• Ravnanje z občutljivimi osebnimi podatki,
zaupnimi informacijami, dokumenti... (Kdo je posredoval info novinarju?)
EN ISO 27799:2006
MI'2007 12.4.20077
ZAVEDANJE POMEMBNOSTI INFORMACIJ V ZDRAVSTVU
• Dosedanje delo ZO na področju varovanja informacij• Strokovna srečanje SDMI
– "Varovanje informacij v zdravstvu", 2003 Slovenj Gradec– »E-zdravje za boljše zdravje v Sloveniji«, Zreče 2005
• Naloge Komisije za IS pri ZdZZS– svetovni standardi in priporočila – varnost informacijskih sistemov in podatkov– priprava predlogov internih IT standardov, predpisov in
priporočil– priprava predlogov skupne razvojne, varnostne in poslovne
politike• Svet za informatiko v zdravstvu pri MZ:
– Komisija za zdravstveno-informacijske standarde (varnost,...)
EN ISO 27799:2006
MI'2007 12.4.20078
SKLADNOST Z ZAKONOM
Zakon o varovanju osebnih podatkov – ZVOP-1(UL RS 86/04 in UL RS 113/05)
V skladu z 2.odstavkom 25. člena ZVOP-1 morajo vsi upravljavci osebnih podatkov v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo.
1. izdelati »Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov«2. zagotoviti njegovo izvajanje
S 1.10.2006 je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni.
• "Če obdelujete osebne podatke in ne sprejmete pravilnika o zavarovanju, vam Informacijski pooblaščenec lahko z odločbo prepove obdelavo osebnih podatkov, poleg tega pa vas lahko kaznuje z globo od 1.000.000 do 3.000.000 SIT. Za takšen prekršek se lahko kaznuje tudi odgovorna oseba pravne osebe in sicer v višini od 200.000 do 300.000 SIT".
EN ISO 27799:2006
MI'2007 12.4.20079
SKLADNOST Z ZAKONOM
Nezadostno zavarovanje osebnih podatkov pacientov Kliničnega centra LJ.
Informacijski pooblaščenec izrekel globo(Ljubljana, 20. november 2006)
"Nepravilnosti na področju varovanja osebnih podatkov v Kliničnem centru Ljubljana pa so bile ugotovljene pri zavarovanju
osebnih podatkov pacientov ter možnosti dostopa do teh podatkov. Zaradi ugotovljenih nepravilnosti pri vodenju
evidenc vpogledov in dostopa do podatkov pacientov je Informacijski pooblaščenec odločil, da gre za
hudo kršitev na področju varovanja občutljivih osebnih podatkov".
EN ISO 27799:2006
MI'2007 12.4.200710
VAROVANJE OSEBNIH PODATKOV
Zaščita pravic posameznikov: • pacientov• zaposlenih• kupcev• dobaviteljev• ....da se preprečuje neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika (1. člen ZVOP-1)
EN ISO 27799:2006
MI'2007 12.4.200711
VAROVANJE INFORMACIJ
Varovanje informacij ima širši namen:zagotoviti normalno delo v ZO. To pomeni preprečevati:• operativno, poslovno in finančno tveganje• motnje ali prenehanje delovanja informacijskega
sistema• motnje v poslovanju (strošek?)• izguba podatkov• zloraba podatkov, virov informacij• izguba dobrega imena• (ne)izpolnjevanje zakonskih obveznosti
EN ISO 27799:2006
MI'2007 12.4.200712
IZVAJANJE UKREPOV INFORMACIJSKE VARNOSTI
Sprejemljivo tveganje pri varovanju informacij dosežemo z organizacijskim in tehničnim pristopom
PRISTOP100% tehnični0% tehnični
100% organizacijski 0% organizacijski
50%
50%
EN ISO 27799:2006
MI'2007 12.4.200713
DO VARNOSTI INFORMACIJ Z MEDNARODNIM STANDARDOM
POMOČ: mednarodni standardi• HISA, HIPAA, HL7, ISO 11073 –
zdravstvena informatika• ISO 9000 – upravljanje kakovosti• ISO 14000 – upravljanje z okoljem• ISO 18000 – upravljanje za zdravje zaposlenih• ISO 27000 – upravljanje z varnostjo
informacij (prej ISO/IEC 17799)
• EN ISO 27799 - upravljanje z varnostjoinformacij v zdravstvu
EN ISO 27799:2006
MI'2007 12.4.200714
DO VARNOSTI INFORMACIJ S STANDARDOM ISO 27001
ISO 27001:2005
Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS)
Uvajanje SUVISUVI pomeni notranjo ureditev poslovanja, ne zgolj izdelavo pravilnikov.
ISO 27001:2005 je nadgrajen ISO/IEC 17799:2005.
EN ISO 27799:2006
MI'2007 12.4.200715
PODROČJA ISO 27001:2005
1. Organizacija informacijske varnosti2. Klasifikacija informacij in podatkov 3. Nadzor dostopa do informacij in sistemov4. Obdelava informacij in dokumentov5. Nakup in vzdrževanje kupljene programske opreme 6. Naprave za varovanje, periferne naprave in druga oprema 7. Boj proti informacijskemu/računalniškemu kriminalu 8. Varnost e-poslovanja9. Razvoj in vzdrževanje lastne programske opreme10. Varnost poslovnih prostorov11. Osebne zadeve in varnost12. Usklajenost z zakonodajo in predpisi13. Odkrivanje in odziv na varnostne incidente14. Načrtovanje neprekinjenega poslovanja
Bold: vsebovano tudi v ZVOP-1
EN ISO 27799:2006
MI'2007 12.4.200716
DO VARNOSTI INFORMACIJ S STANDARDOM EN ISO 27799
EN ISO 27799:2006Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) v zdravstvu•EN ISO 27799:2006 temelji na ISO/IEC 17799 (BS 7799-2). •Cilj: zagotavljati skladnost zdravstvenih organizacij s standardom (s preverjanjem, vendar brez certificiranja!)
EN ISO 27799:2006
MI'2007 12.4.200717
POGLAVJA EN ISO 27799:2006
• Foreword • Introduction• 1 Scope • 2 Normative references• 3 Terms and definitions • 4 Symbols (and abbreviated terms) • 5 Health information security• 6 Practical action plan for implementing ISO/IEC 17799 • 7 Healthcare implications of ISO/IEC 17799• Annex A Threats to health information security• Annex B Tasks and related documents of the Information
Security Management System• Annex C Potential benefits and required attributes of
support tools (informative) • Annex D Related standards in health information security
(informative)• Bibliography
EN ISO 27799:2006
MI'2007 12.4.200718
• varnost je potrebno upravljati• varnostna politika usklajena s poslovnimi cilji • varnost gledana s stališča zagotavljanja
neprekinjenega delovanja• vrednost informacij je ocenjena v luči škode, ki jo
povzroči uresničena grožnja• poudarjena osebna zavezanost vodstva za
uresničevanje vseh faz varnostne politike• zajete vse vrst informacij (papir, elektronske,
govorjene, prikazane • poudarjen pomen trajnega izobraževanja za
zagotavljanje varnosti s strani vseh zaposlenih.
POSLOVNA NARAVNANOST
EN ISO 27799:2006
MI'2007 12.4.200719
NEKATERI UČINKI UVEDBE SUVI
1) izpolnjevanje zakonodaje in predpisov2) zahteve EU glede varovanja podatkov/informacij – kmalu
nasvidenje!3) povečan ugled v očeh bolnikov, javnosti in poslovnih
partnerjev 4) boljše poznavanje in obvladovanje poslovnih tveganj, ki jih
prinašajo varnostni incidenti5) preventivno delo zmanjšuje učinke varnostnih incidentov ter
enostavneje zagotavljanje neprekinjenega delovnega procesa
6) zmanjšani stroški odprave posledic varnostnih incidentov 7) upravljanje z varnostjo olajša načrtovanje investicij v IS in
zmanjšuje stroške
EN ISO 27799:2006
MI'2007 12.4.200720
DOKUMENTI UVAJANJA SUVI
NAVODILA,NORMATIVI,POSTOPKI...
POSLOVNIK
PODROČNEPOLITIKE
KROVNA VARNOSTNAPOLITIKA
PODROČNAPOLITIKA 1(Pravilnik 1)
PODROČNAPOLITIKA 2(Pravilnik 2)
PODROČNAPOLITIKA N(Pravilnik N)
ISO 27001:2005 – SUVI je dokumentiran proces
EN ISO 27799:2006
MI'2007 12.4.200721
PRIMERI VARNOSTNIH POLITIK
• varovanje v zvezi z osebjem• dodeljevanje gesel in nadzor dostopa• uporaba Interneta • uporaba elektronske pošte• prenosljiva komunikacijska in računalniška opreme • delo na daljavo• zaščita pred zlonamerno programsko opremo• obravnava varnostnih incidentov• uničevanje nosilcev informacij• posredovanja osebnih podatkov
– izven ustanove– znotraj ustanove
EN ISO 27799:2006
MI'2007 12.4.200722
PRIMERI NAVODIL
• Navodilo o iznosu informacijskih sredstev iz ustanove
• Navodila za namestitev nove programske in strojne opreme IS v ustanovi
• Navodilo o označevanju dokumentov• Navodilo o ravnanje ob varnostnem incidentu• Navodilo o poročanju o dostopih do baze podatkov
o pacientih• Navodila za izločanje nosilcev informacij• .....
EN ISO 27799:2006
MI'2007 12.4.200723
PRIMER UREJENOSTI DOKUMENTACIJE SUVI
Organ. enota
Področje varovanja Dokument - naziv
Vrsta dokumenta
Lokacija - arhiv
Odgov. oseba
SPS Interna klinika
ISO27001-7.1 Dostop do IT sredstev
Politika RC IK Janez Zalar
SPS Interna klinika
ISO27001-7.1.4 Zaščita pred cyber kriminalom
Navodilo ob incidentu
RC IK – Navodila operaterjem
Radko Tvrdy
SPS Interna klinika
SO27001-7.5. Nakup/nadgradnja in namestitev SW
Varnostne politike
RC IK Borut Lavrič
EN ISO 27799:2006
MI'2007 12.4.200724
ZDRAVSTVO - MEDNARODNE IZKUŠNJE
Velika Britanija• NHS-National Health Service uporablja ISO/IEC17799:2000. Cilj - v nekaj letih se vse zdravstvene organizacije v sistemu NHS (tudi
splošni zdravniki), ki želijo imeti dostop do podatkov o pacientih v elektronski obliki (EHR - elektronski zdravstveni zapis) certificirajo(!) po standardu ISO/IEC17799-2.
• Izvajajo dvofazne pilotne projekte uvajanja v več pokrajinah UK• NHS organizira in sponzorira izvajanje seminarjev po UK za top NHS
menedžmentFrancija, Nizozemska, Nemčija, Norveška, Belgija,
Švedska – uvajanje ISO 17799 v zdravstvo + delo v CEN/TC 251 WG3 ter ISO TC 215 WG4
Avstralija & Nova Zelandija• navodila za implementacijo ISO/IEC17799 za zdravstvene ustanove!
EN ISO 27799:2006
MI'2007 12.4.200725
SLOVENSKE IZKUŠNJE
»Slovenski«SIST standardi:• SIST ISO/IEC 17799:2003 - Informacijska tehnologija – Kodeks
upravljanja varovanja informacij • SIST BS7799-2:2003 - Sistemi za upravljanje varovanja informacij –
Specifikacija z napotki za uporabo• oSIST prEN ISO 27799:2006 – Zdravstvena informatika – Upravljanje
varovanja informacij v zdravstvu z uporabo ISO/IEC 17799
Vlada RS - 2002: • navodilo vsem državnim organom, da uvajajo SUVI, kot ga definira
standard BS7799 v skladu s "Priporočila za pripravo informacijske varnostne politike. CVI, 2002".
Banka Slovenije:• PSIST BS-7799-1995 kot merilo zagotavljanja varnosti informacij v
slovenskem bančništvu.ZZV Celje, ZZV Novo mesto
EN ISO 27799:2006
MI'2007 12.4.200726
PREDLOG PROJEKTA ZdZZ
Predlog projekta Min. za zdravje:
»Skupni pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih
zavodih v Sloveniji«
EN ISO 27799:2006
MI'2007 12.4.200727
PREDLOG PROJEKTA ZdZZ
1. Skupen pristop ZO (članic ZdZZ) k uvajanju SUVI, da se zagotovi varovanje informacij s sprejemljivim nivojem tveganja, ki bo omogočalo varno delo in varno izmenjavo podatkov in informacij med ZO.
2. Vse ZO oblikujejo poenoteno celostno politiko upravljanja z varnostjo informacij po priporočilih mednarodnega standarda ISO 27799.
3. Zagotavljanje skladnosti naj bo pogoj za vključitev ZO v nacionalni sistem elektronske izmenjave zdravstvenih podatkov.
EN ISO 27799:2006
MI'2007 12.4.200728
RAZLOGI ZA SKUPEN PRISTOP
• dogovorjena skupna merila informacijske varnosti• sinergijski učinek - skupen napor vseh ZO (skupni
dokumenti, pristopi...)• učinkovitost uvajanja – proces uvajanja teče vzporedno
(ni ponavljanja korakov za vsako ZO posebej)• zmanjšanje potrebnih investicijskih sredstev• zagotavljanje skladnosti na nacionalni ravni• ustvarjanje možnosti za povezovanje ZO v
organizacijsko povezane enote v regijah, ki bi uporabljale skupno informacijsko infrastrukturo.
EN ISO 27799:2006
MI'2007 12.4.200729
URESNIČEVANJE PREDLOGA
CILJ: v 4 letih vse ZO dokumentirano upravljajo z varnostjo informacij
Nosilec: Združenje zdravstvenih zavodov SlovenijeNaročnik –financer: Min. za zdravje RS ("eZdravje 2010")Sofinanserji: sodelujoče zdravstvene organizacijeIzvajalci:
– nosilec – partnerji na projektu– zunanji izvajalci in svetovalci – notranji izvajalci v posameznih ZO
Presojevalec: organ pooblaščen s strani Min. za zdravje
EN ISO 27799:2006
MI'2007 12.4.200730
MODEL IZVEDBE PROJEKTA
ZUNANJISVETOVALCI
VEČJIDOBAVITELJI
spletnie-forum
REG.ODBOR N
ZO1 ZO2 ZOn
PRESOJEVALNIORGAN
DRUGIPARTNERJI
bolniki
uporabniki
REG.ODBOR 1
ZO1 ZO2 ZOn
Zdr.ZZS
ZUNANJI VIRIIZOBRAŽEV.
LEKARNE
MIN. ZAZDRAVJE
bolniki
uporabniki
bolniki
uporabniki
bolniki
uporabniki
bolniki
uporabniki
bolniki
uporabniki
EN ISO 27799:2006
MI'2007 12.4.200731
FAZE PROJEKTA
I. pripravljalne in promocijske aktivnostiII. skupne aktivnosti vseh sodelujočih ZO
po regijah (delavnice, generični dokumenti...)III. pilotna aplikacija in analiza rezultatovIV. izvedbene aktivnosti po regijahV. implementacija rezultatov projekta v
posamezni ZO (izdelava delovnih dokumentov
posameznih ZO, revizija, svetovanje)VI. preverjanje skladnosti v ZOVII. zaključne aktivnosti
EN ISO 27799:2006
MI'2007 12.4.200732
POTEK IMPLEMENTACIJE - IZVEDBA
ZDRAVSTVENIDOMOVI BOLNIŠNICE
drugeZDRAVSTVENEORGANIZACIJE
REGIJA1
REGIJA1
REGIJAn
REGIJA1
REGIJAn
REGIJAn
ZD1
ZDn
ZD1
ZDn
ZZV1
ZZVnH1
H n
UVAJANJE
H1
H n
POSLOVNIPARTNERJI
lekarnedobavitelji
PACIENTI
PILOTNA APLIKACIJA
EN ISO 27799:2006
MI'2007 12.4.200733
UVEDBA SUVI - INVESTICIJA
Trajanje projekta: 48 mesecev
Obseg dela: 736 človek/mesecev = 16.000 človek/dni = 128.000 ur
Skupni strošek dela: 3.841.920 €Lastni delež ZO: 54,0% - stroški lastnega dela
(400 MM) = 2.088.000 €Podpora SIZ/MZ: 46% stroškov dela + oprema
= 1.775.920 €
EN ISO 27799:2006
MI'2007 12.4.200734
SKLADNOST PREDLOGA
1. Pobuda je skladna s priporočili Slovenskega društva za med.informatiko SDMI ("Ena ključnih nalog organa za usklajevanje razvoja zdravstvene informatike so varnostni standardi – oblikovati je potrebno generične modele varnosti za posamezne vrste izvajalcev sledeč mednarodnim standardom.")
2. Predlog je skladen s pričakovanji Komisije za IS pri ZdZZ o ureditvi razmer na področju varovanja.
3. Min. za zdravje – Sklep o imenovanju Odbora za zdravstveno informacijske standarde pri Svetu za inf. v zdravstvu (27.11.2006) (področje dela OZIS tudi procesno: zaščita, varnost in kakovost)
EN ISO 27799:2006
MI'2007 12.4.200735
SUVI – TRAJEN PROCES
NAČRTAJ(PRIPRAVI)
IZDELAJ(UVEDI)
PREVERJAJ
IZBOLJŠUJ
PDCA model - Demingov krog
EN ISO 27799:2006
MI'2007 12.4.200736
HVALA ZA POZORNOST,
VABLJENI K URESNIČEVANJU POBUDE