Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle

normy ČSN/BS 7799-2:2004

Ing. Daniel Kardoš

Cíl

Seznámení se základními termíny. Seznámení se základními principy. Seznámení s klasifikací informací. Seznámení s hodnocením rizik. 10 hlavních skupin opatření. Příklady. Obsah úvodního školení.

Co je bezpečnost informací

Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,

integrita - zabezpečení správnosti a kompletnosti informací a metod zpracování,

dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

Proč chránit informace ?

Závislost na informačních systémech a jejich službách se zvyšuje. Výpadek IS = škoda.

Propojení veřejných a privátních sítí zvyšuje ohrožení privátních sítí.

Informační systémy kladou stále vyšší nároky na znalosti pracovníků. Neznalost = škoda.

Právo duševního vlastnictví.Ochrana zneužitelných informací.Ochrana osobních údajů.

Náklady na bezpečnost jsou nižší než náklady na sanaci škod

Opatření by měla být vybírána na základě nákladů na jejich realizaci ve vztahu ke snížení rizik a potenciálních ztrát vzniklých z narušení bezpečnosti.

Cena informačních aktiv.Škody, které mohou vzniknout.

Náklady na bezpečnostní opatření.

5 základních rovin ochrany informací

Dokument politiky bezpečnosti informací,

přidělení odpovědností v oblasti bezpečnosti

informací,

vzdělávání a školení v oblasti bezpečnosti informací,

hlášení bezpečnostních incidentů,

řízení kontinuity podnikatelských činností.

10 oblasti BS 7799-2

1. Politika bezpečnosti informací.2. Organizace bezpečnosti informací.3. Klasifikace a kontrola aktiv.4. Personální bezpečnost.5. Fyzická bezpečnost.6. Řízení provozu.7. Řízení přístupu.8. Vývoj, údržba.9. Kontinuita.10. Soulad.

1) Politika bezpečnosti informací

Definice bezp. info, cíle, rozsah a důležitostí, prohlášení vedení organizace, stručný výklad zásad:

legislativních a smluvních požadavků, vzdělávání v oblasti bezpečnosti, zásady prevence a detekce virů, zásady plánování kontinuity, důsledky porušení bezpečnostních zásad,

odpovědnost za řízení, hlášení bezpečnostních incidentů, odkazy na související směrnice.

2) Organizace bezpečnosti informací

Infrastruktura bezpečnosti informací.Fórum pro řízení bezpečnosti informací.Odpovědnosti v oblasti bezpečnosti informací.Spolupráce mezi organizacemi.

Identifikace rizik plynoucích z přístupu třetí strany.

3) Klasifikace a kontrola aktiv

Evidence aktiv a odpovědnost za aktiva.

Klasifikace informací,pravidla klasifikace,označování a nakládání s informacemi.

4) Personální bezpečnost

Bezpečnost a mlčenlivost v popisu práce. Taktika prověřování uchazečů. Podmínky výkonu pracovní činnosti. Školení a vzdělávání uživatelů. Hlášení bezpečnostních incidentů a slabin. Hlášení chybného fungování programů. Ponaučení z incidentů. Disciplinární řízení.

5) Fyzická bezpečnost a bezpečnost prostředí

Fyzické bezpečnostní překážky budov a místnosti. Kontroly vstupu osob. Práce v bezpečných zónách. Umístění zařízení a jeho ochrana, napájecí zdroje,

bezpečnost kabeláže. Údržba zařízení. Bezpečnost zařízení mimo objekt. Bezpečná likvidace nebo znovupoužití zařízení. Zásada prázdného stolu a prázdné monitoru. Vynášení majetku.

6) Správa komunikací a řízení provozu

Provozní postupy a odpovědnosti.

Plánování a akceptace systému.

Ochrana proti škodlivým programům.

Správa systému.

Správa sítě.

Bezpečnost při zacházení s médii.

Výměna informací a programů.

7) Řízení přístupu

Požadavky na řízení přístupu. Řízení přístupu uživatelů. Odpovědnosti uživatelů. Řízení přístupu k síti. Řízení přístupu k operačnímu systému. Řízení přístupu k aplikacím. Monitorování používání a přístupu k systému. Mobilní prostředky a práce na dálku.

8) Vývoj a údržba systémů

Bezpečnostní požadavky na systémy.

Bezpečnost v aplikačních systémech.

Kryptografická opatření.

Bezpečnost systémových souborů.

Bezpečnost procesu vývoje a údržby.

9) Řízení kontinuity podnikatelských činností

Proces řízení kontinuity podnikatelských činností. Kontinuita podnikatelských činností a analýza

dopadů. Vytváření a implementace plánů kontinuity. Systém plánování kontinuity podnikatelských

činností. Testování, údržba a přehodnocování plánů

kontinuity.

10) Soulad s požadavky

Určení odpovídajících právních norem, zákony na ochranu duševního vlastnictví, ochrana záznamů organizace, ochrana osobních údajů a jejich důvěrnost.

Sběr důkazů.Prověrka bezpečnostní politiky a technické

shody. Podmínky auditu systému.

Pravděpodobnost incidentu

Incident Pravděpodobnost výskytu Dle dopadu

výpadky proudu 17,2 2poruchy hardware 15,6 1virové napadení 14,9 8chyby uživatelů 12,7 9

chyby programového vybavení 10,2 3selhání LAN 8,1 4selhání WAN 6,6 6

chyby administrátora nebo obsluhy 5,4 10krádež zařízení 3,7 7

nepovolený přístup k datum zevnitř organizace 2,3 12zneužití zařízení. 1,2 13

přírodní katastrofa 1,0 5nepovolený přístup k datum zvenčí organizace 1,0 11

Bezpečnost v popisu práce při zajišťovaní lidských zdrojů organizace A 6.1.

PSSOI

A 6.1.1 Povinnosti zaměstnanců:Dodržovat „Politiku bezpečnosti informací“. Realizovat a dodržovat specifické povinnosti ochrany informačních aktiv v souladu se směrnici o ochraně informací.

PS A 6.1.2 Povinnost personalisty:Ověří totožnost – kontrolou dvou dokladů (dalším dokladem, např. cestovním pasem)Zkontroluje životopis uchazeče (s ohledem na úplnost a přesnost)Ověří proklamované vzdělání, školení a odbornou kvalifikaciProvede prověření dvou dostatečných referencí, profesní a osobníProvede prověření bezúhonnosti – dokladováním výpisu z Rejstříku trestůZajistí prověření znalostí a jejích úrovně – rozhovor nebo test (věcně příslušný vedoucí určí odborníka, který provede prověření a zpracuje záznam)Ověří všechny dokladované dokumentyStejná pravidla platí při prověřování externích pracovníků.

PS A 6.1.3 Povinnosti zaměstnanců, personalisty:Nutnou podmínkou uzavření pracovní smlouvy je uzavření dohody o ochraně důvěrných informací. Pracovníci, kteří nepodepíší dohodu o mlčenlivosti jako součást jejich nástupních podmínek v pracovní smlouvě, podepíší dohodu mlčenlivosti jako samostatný dokument.

PS A6.1.4 Povinnosti zaměstnanců, povinnosti organizace:Plnit pracovní úkoly spojené s vykonáváním pracovní činnosti. Dodržovat pracovní řády, postupy při dodržování bezpečnostní politiky. Organizace se zavazuje zajistit zaměstnancům odpovídající pracovní prostředí pro vykonávání pracovních povinností.

Politika bezpečnosti informací

Předmětem ochrany jsou jakékoliv nosiče údajů a informací, jako jsou např. písemné materiály a dokumenty, magnetická média – diskety i pevné disky, optická datová (paměťová) média, paměti počítačů a osobních záznamníků apod. Chráněny jsou i všechny formy přenosů údajů a informací, tedy přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod.

Bezpečnost informací je ochrana důvěrnosti, integrity a dostupnosti informací. Důvěrnosti rozumíme to, že informace je přístupná jen těm, kteří jsou oprávněni mít přístup k této informaci. Integritou rozumíme přesnost a kompletnost informace a metod jejího zpracování. Dostupnosti rozumíme to, že informace a s nimi spjatá aktiva jsou uživatelům přístupná v době, kdy je požadují.

Povinnost chránit informace

Z důvodů průkaznosti minimální úrovně ochrany: zdravotnických informací pacientů,osobních dat,obchodních a jiných dokumentů, efektivního řízení informací a informačních systémů,

by měli všechny organizace zavést zavést certifikovaný systém řízení bezpečností informaci podle ČSN BS 7799-2: 2004.

Úvodní školení – 3 hod.

Základní seznámení s požadavky normy BS 7799-2.

Metodika identifikace aktiv, klasifikace aktiv, identifikace zranitelnosti, hrozeb, rizik,

odhad škod. Požadavky normy - příklady řešení.

10 oblasti bezpečnosti informací. Požadavky normy - příklady řešení.

Ustanovení fóra bezpečnosti informací. Úkoly, termíny, odpovědnosti.

Děkuji za pozornost

Ing. Daniel Kardoš

Dkardos@seznam.czwww.sweb.cz/nemocis

Tel: 774 061 028