Presentation is loading. Please wait.

Presentation is loading. Please wait.

Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si.

Published bySilvia Poblete Vargas Modified over 6 years ago

Similar presentations

Presentation on theme: "Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si."— Presentation transcript:

1 Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o.

2 PREDLOG ZdZZ Predlog Združenja zdravstvenih zavodov Slovenije za nacionalni projekt pri Ministrstvu za zdravstvo v okviru projektov "eZdravje 2010" ( ): "Skupen pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji" Cilj: zagotoviti sistemsko podporo sodelujočim zdravstvenim organizacijam pri njihovih prizadevanjih za vzpostavitev sistema varovanja podatkov in informacij.

3 VSEBINA oddan predlog nacionalnega projekta
zavedanje potrebe po varovanje informacij v SLO zdravstvu ZVOP-1, informacijska pooblaščenka in - izpolnitev zakonskih zahtev do varnosti informacij s skladnostjo s standardom za upravljanje z varnostjo informacij mednarodne in domače izkušnje s standardom pobuda za projekt skupnega pristopa, razlogi in model uresničitve osnovni podatki predloga projekta

4 ATRIBUTI PREDLAGANEGA PROJEKTA
Glede na klasifikacijo MZ ima predlog projekta ZdZZ naslednje lastnosti: spada med velike projekte traja 48 mesecev število sodelujočih organizacij >25 število aktivnosti > 300 število različnih tipov vključenih ZO >5 planirana sredstva > €

5 POTENCIALNI SODELAVCI
IME INSTITUCIJE STATUS Združenje zdravstvenih zavodov Slovenije Nosilec Vse ZO članice ZdrZZ Slovenije Partner 1 MKS Elektronski sistemi d.o.o. (dr. Drago Rudel) Partner 2 Lekarniška zbornica Slovenije (mag. Andreja Čufar) Partner 3 Zdravniška zbornica Slovenije (Brane Dobnikar) Partner 4 Združenje socialnih zavodov Slovenije (Boris Koprivnikar) Partner 5 Univerza v Ljubljani, Medicinska fakulteta, Inštitut za biomedicinsko informatiko (prof.dr. Janez Stare Partner 6 Ustanova PROREC.SI, »Industrijski forum« (Leo Ciglenečki, Smiljana Slavec) Partner 7

6 VARNOSTNI IZZIVI Primer: Kaj narediti z e-potnim predalom, ko gre direktor v novo službo? Kaj z njegovo arhivirano pošto na varnostnih kopijah? Ali imamo pravilnik, kako uporabljati: e-pošto, Internet službeno informacijsko opremo (prenosni PC)? Kaj se sme, kaj ne? Kaj pa, če kršiš pravila? Ravnanje z občutljivimi osebnimi podatki, zaupnimi informacijami, dokumenti... (Kdo je posredoval info novinarju?)

7 ZAVEDANJE POMEMBNOSTI INFORMACIJ V ZDRAVSTVU
Dosedanje delo ZO na področju varovanja informacij Strokovna srečanje SDMI "Varovanje informacij v zdravstvu", 2003 Slovenj Gradec »E-zdravje za boljše zdravje v Sloveniji«, Zreče 2005 Naloge Komisije za IS pri ZdZZS svetovni standardi in priporočila varnost informacijskih sistemov in podatkov priprava predlogov internih IT standardov, predpisov in priporočil priprava predlogov skupne razvojne, varnostne in poslovne politike Svet za informatiko v zdravstvu pri MZ: Komisija za zdravstveno-informacijske standarde (varnost,...)

8 SKLADNOST Z ZAKONOM Zakon o varovanju osebnih podatkov – ZVOP-1
(UL RS 86/04 in UL RS 113/05) V skladu z 2.odstavkom 25. člena ZVOP-1 morajo vsi upravljavci osebnih podatkov v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo. 1. izdelati »Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov« 2. zagotoviti njegovo izvajanje S je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni. "Če obdelujete osebne podatke in ne sprejmete pravilnika o zavarovanju, vam Informacijski pooblaščenec lahko z odločbo prepove obdelavo osebnih podatkov, poleg tega pa vas lahko kaznuje z globo od do SIT. Za takšen prekršek se lahko kaznuje tudi odgovorna oseba pravne osebe in sicer v višini od do SIT".

9 SKLADNOST Z ZAKONOM Nezadostno zavarovanje osebnih podatkov  pacientov Kliničnega centra LJ. Informacijski pooblaščenec izrekel globo (Ljubljana, 20. november 2006) "Nepravilnosti na področju varovanja osebnih podatkov v Kliničnem centru Ljubljana pa so bile ugotovljene pri zavarovanju osebnih podatkov pacientov ter možnosti dostopa do teh podatkov. Zaradi ugotovljenih nepravilnosti pri vodenju evidenc vpogledov in dostopa do podatkov pacientov je Informacijski pooblaščenec odločil, da gre za hudo kršitev na področju varovanja občutljivih osebnih podatkov".

10 VAROVANJE OSEBNIH PODATKOV
Zaščita pravic posameznikov: pacientov zaposlenih kupcev dobaviteljev .... da se preprečuje neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika (1. člen ZVOP-1)

11 VAROVANJE INFORMACIJ Varovanje informacij ima širši namen:
zagotoviti normalno delo v ZO. To pomeni preprečevati: operativno, poslovno in finančno tveganje motnje ali prenehanje delovanja informacijskega sistema motnje v poslovanju (strošek?) izguba podatkov zloraba podatkov, virov informacij izguba dobrega imena (ne)izpolnjevanje zakonskih obveznosti

12 IZVAJANJE UKREPOV INFORMACIJSKE VARNOSTI
Sprejemljivo tveganje pri varovanju informacij dosežemo z organizacijskim in tehničnim pristopom 50% 0% tehnični 100% tehnični PRISTOP 0% organizacijski 100% organizacijski 50%

13 DO VARNOSTI INFORMACIJ Z MEDNARODNIM STANDARDOM
POMOČ: mednarodni standardi HISA, HIPAA, HL7, ISO – zdravstvena informatika ISO – upravljanje kakovosti ISO – upravljanje z okoljem ISO – upravljanje za zdravje zaposlenih ISO – upravljanje z varnostjo informacij (prej ISO/IEC 17799) EN ISO upravljanje z varnostjo informacij v zdravstvu

14 DO VARNOSTI INFORMACIJ S STANDARDOM ISO 27001
Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) Uvajanje SUVI pomeni notranjo ureditev poslovanja, ne zgolj izdelavo pravilnikov. ISO 27001:2005 je nadgrajen ISO/IEC 17799:2005.

15 PODROČJA ISO 27001:2005 1. Organizacija informacijske varnosti
2.   Klasifikacija informacij in podatkov 3.   Nadzor dostopa do informacij in sistemov 4.   Obdelava informacij in dokumentov 5.   Nakup in vzdrževanje kupljene programske opreme 6.   Naprave za varovanje, periferne naprave in druga oprema 7.   Boj proti informacijskemu/računalniškemu kriminalu 8.   Varnost e-poslovanja Razvoj in vzdrževanje lastne programske opreme Varnost poslovnih prostorov Osebne zadeve in varnost Usklajenost z zakonodajo in predpisi Odkrivanje in odziv na varnostne incidente Načrtovanje neprekinjenega poslovanja Bold: vsebovano tudi v ZVOP-1

16 DO VARNOSTI INFORMACIJ S STANDARDOM EN ISO 27799
Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) v zdravstvu EN ISO 27799:2006 temelji na ISO/IEC (BS ). Cilj: zagotavljati skladnost zdravstvenih organizacij s standardom (s preverjanjem, vendar brez certificiranja!)

17 POGLAVJA EN ISO 27799:2006 Foreword Introduction 1 Scope
2 Normative references 3 Terms and definitions 4 Symbols (and abbreviated terms) 5 Health information security 6 Practical action plan for implementing ISO/IEC 17799 7 Healthcare implications of ISO/IEC 17799 Annex A Threats to health information security Annex B Tasks and related documents of the Information Security Management System Annex C Potential benefits and required attributes of support tools (informative) Annex D Related standards in health information security (informative) Bibliography

18 POSLOVNA NARAVNANOST varnost je potrebno upravljati
varnostna politika usklajena s poslovnimi cilji varnost gledana s stališča zagotavljanja neprekinjenega delovanja vrednost informacij je ocenjena v luči škode, ki jo povzroči uresničena grožnja poudarjena osebna zavezanost vodstva za uresničevanje vseh faz varnostne politike zajete vse vrst informacij (papir, elektronske, govorjene, prikazane poudarjen pomen trajnega izobraževanja za zagotavljanje varnosti s strani vseh zaposlenih. Z varnostjo je potrebno upravljati, kot s kakovostjo produktov. Torej so potrebni vsi poslovni prijemi. Varnostna politika mora biti po standardu usklajena s poslovnimi cilji. Zagotavljanje varnosti je torej skladno s pomembnostjo pri zagotavljanju ciljev. Varnost ni zgolj strošek ampak pripomoček za doseganje ciljev. Poslovni cilji - kako so ogroženi, če je ogrožena varnost informacij (slaba reputacija za ZO, če bi bili kakršnikoli podatki odtujeni in zlorabljeni - primer: izgubljeni potni listi pri DHL - kaj pa naše kartoteke, ki potujejo po pošti) Zagotavljanje varnosti je gledano s stališča zagotavljanja neprekinjenega delovnega procesa. Vrednost informacije je ocenjena v luči škode, ki jo povzroči uresničena grožnja in motila ali ustavila delovni proces.

19 NEKATERI UČINKI UVEDBE SUVI
1) izpolnjevanje zakonodaje in predpisov 2) zahteve EU glede varovanja podatkov/informacij – kmalu nasvidenje! 3) povečan ugled v očeh bolnikov, javnosti in poslovnih partnerjev 4) boljše poznavanje in obvladovanje poslovnih tveganj, ki jih prinašajo varnostni incidenti 5) preventivno delo zmanjšuje učinke varnostnih incidentov ter enostavneje zagotavljanje neprekinjenega delovnega procesa 6) zmanjšani stroški odprave posledic varnostnih incidentov 7) upravljanje z varnostjo olajša načrtovanje investicij v IS in zmanjšuje stroške

20 DOKUMENTI UVAJANJA SUVI
ISO 27001:2005 – SUVI je dokumentiran proces

21 PRIMERI VARNOSTNIH POLITIK
varovanje v zvezi z osebjem dodeljevanje gesel in nadzor dostopa uporaba Interneta uporaba elektronske pošte prenosljiva komunikacijska in računalniška opreme delo na daljavo zaščita pred zlonamerno programsko opremo obravnava varnostnih incidentov uničevanje nosilcev informacij posredovanja osebnih podatkov izven ustanove znotraj ustanove

22 PRIMERI NAVODIL Navodilo o iznosu informacijskih sredstev iz ustanove
Navodila za namestitev nove programske in strojne opreme IS v ustanovi Navodilo o označevanju dokumentov Navodilo o ravnanje ob varnostnem incidentu Navodilo o poročanju o dostopih do baze podatkov o pacientih Navodila za izločanje nosilcev informacij .....

23 PRIMER UREJENOSTI DOKUMENTACIJE SUVI
Organ. enota Področje varovanja Dokument - naziv Vrsta dokumenta Lokacija - arhiv Odgov. oseba SPS Interna klinika ISO Dostop do IT sredstev Politika RC IK Janez Zalar ISO Zaščita pred cyber kriminalom Navodilo ob incidentu RC IK – Navodila operaterjem Radko Tvrdy SO Nakup/nadgradnja in namestitev SW Varnostne politike Borut Lavrič

24 ZDRAVSTVO - MEDNARODNE IZKUŠNJE
Velika Britanija NHS-National Health Service uporablja ISO/IEC17799:2000. Cilj - v nekaj letih se vse zdravstvene organizacije v sistemu NHS (tudi splošni zdravniki), ki želijo imeti dostop do podatkov o pacientih v elektronski obliki (EHR - elektronski zdravstveni zapis) certificirajo(!) po standardu ISO/IEC Izvajajo dvofazne pilotne projekte uvajanja v več pokrajinah UK NHS organizira in sponzorira izvajanje seminarjev po UK za top NHS menedžment Francija, Nizozemska, Nemčija, Norveška, Belgija, Švedska – uvajanje ISO v zdravstvo + delo v CEN/TC 251 WG3 ter ISO TC 215 WG4 Avstralija & Nova Zelandija navodila za implementacijo ISO/IEC17799 za zdravstvene ustanove!

25 SLOVENSKE IZKUŠNJE »Slovenski«SIST standardi: Vlada RS - 2002:
SIST ISO/IEC 17799: Informacijska tehnologija – Kodeks upravljanja varovanja informacij SIST BS7799-2: Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo oSIST prEN ISO 27799:2006 – Zdravstvena informatika – Upravljanje varovanja informacij v zdravstvu z uporabo ISO/IEC 17799 Vlada RS : navodilo vsem državnim organom, da uvajajo SUVI, kot ga definira standard BS7799 v skladu s "Priporočila za pripravo informacijske varnostne politike. CVI, 2002". Banka Slovenije: PSIST BS kot merilo zagotavljanja varnosti informacij v slovenskem bančništvu. ZZV Celje, ZZV Novo mesto

26 PREDLOG PROJEKTA ZdZZ Predlog projekta Min. za zdravje:
»Skupni pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji«

27 PREDLOG PROJEKTA ZdZZ Skupen pristop ZO (članic ZdZZ) k uvajanju SUVI, da se zagotovi varovanje informacij s sprejemljivim nivojem tveganja, ki bo omogočalo varno delo in varno izmenjavo podatkov in informacij med ZO. Vse ZO oblikujejo poenoteno celostno politiko upravljanja z varnostjo informacij po priporočilih mednarodnega standarda ISO Zagotavljanje skladnosti naj bo pogoj za vključitev ZO v nacionalni sistem elektronske izmenjave zdravstvenih podatkov.

28 RAZLOGI ZA SKUPEN PRISTOP
dogovorjena skupna merila informacijske varnosti sinergijski učinek - skupen napor vseh ZO (skupni dokumenti, pristopi...) učinkovitost uvajanja – proces uvajanja teče vzporedno (ni ponavljanja korakov za vsako ZO posebej) zmanjšanje potrebnih investicijskih sredstev zagotavljanje skladnosti na nacionalni ravni ustvarjanje možnosti za povezovanje ZO v organizacijsko povezane enote v regijah, ki bi uporabljale skupno informacijsko infrastrukturo.

29 URESNIČEVANJE PREDLOGA
CILJ: v 4 letih vse ZO dokumentirano upravljajo z varnostjo informacij Nosilec: Združenje zdravstvenih zavodov Slovenije Naročnik –financer: Min. za zdravje RS ("eZdravje 2010") Sofinanserji: sodelujoče zdravstvene organizacije Izvajalci: nosilec partnerji na projektu zunanji izvajalci in svetovalci notranji izvajalci v posameznih ZO Presojevalec: organ pooblaščen s strani Min. za zdravje

30 MODEL IZVEDBE PROJEKTA

31 FAZE PROJEKTA I. pripravljalne in promocijske aktivnosti II. skupne aktivnosti vseh sodelujočih ZO po regijah (delavnice, generični dokumenti...) III. pilotna aplikacija in analiza rezultatov IV. izvedbene aktivnosti po regijah V. implementacija rezultatov projekta v posamezni ZO (izdelava delovnih dokumentov posameznih ZO, revizija, svetovanje) VI. preverjanje skladnosti v ZO VII. zaključne aktivnosti

32 POTEK IMPLEMENTACIJE - IZVEDBA

33 UVEDBA SUVI - INVESTICIJA
Trajanje projekta: 48 mesecev Obseg dela: 736 človek/mesecev = človek/dni = ur Skupni strošek dela: Lastni delež ZO: 54,0% - stroški lastnega dela (400 MM) = € Podpora SIZ/MZ: 46% stroškov dela + oprema = €

34 SKLADNOST PREDLOGA Pobuda je skladna s priporočili Slovenskega društva za med.informatiko SDMI ("Ena ključnih nalog organa za usklajevanje razvoja zdravstvene informatike so varnostni standardi – oblikovati je potrebno generične modele varnosti za posamezne vrste izvajalcev sledeč mednarodnim standardom.") Predlog je skladen s pričakovanji Komisije za IS pri ZdZZ o ureditvi razmer na področju varovanja. Min. za zdravje – Sklep o imenovanju Odbora za zdravstveno informacijske standarde pri Svetu za inf. v zdravstvu ( ) (področje dela OZIS tudi procesno: zaščita, varnost in kakovost)

35 PDCA model - Demingov krog
SUVI – TRAJEN PROCES NAČRTAJ (PRIPRAVI) IZBOLJŠUJ IZDELAJ (UVEDI) PREVERJAJ PDCA model - Demingov krog

36 VABLJENI K URESNIČEVANJU POBUDE
HVALA ZA POZORNOST, VABLJENI K URESNIČEVANJU POBUDE

Download ppt "Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si."

Similar presentations

INFORMACIJSKA TEHNOLOGIJA projektna naloga pri predmetu informatika

INFORMACIJSKA TEHNOLOGIJA projektna naloga pri predmetu informatika
Strategic Research Agenda Strateška raziskovalna usmeritev D. Gradišar, V. Jovan 14. April 2010.

Strategic Research Agenda Strateška raziskovalna usmeritev D. Gradišar, V. Jovan 14. April 2010.
Wikinomija Stanko Blatnik, IPAK Inštitut eFest Velenje, oktober 2008.

Wikinomija Stanko Blatnik, IPAK Inštitut eFest Velenje, oktober 2008.
Miha Pihler MCSA, MCSE, MCT, CISSP, Microsoft MVP

Miha Pihler MCSA, MCSE, MCT, CISSP, Microsoft MVP
INFORMATIVNI DAN ZA RAZISKOVALNE ORGANIZACIJE Univerza v Ljubljani, Fakulteta za strojništvo, Ljubljana, 10.1.2014 Republika Slovenija Ministrstvo za infrastrukturo.

INFORMATIVNI DAN ZA RAZISKOVALNE ORGANIZACIJE Univerza v Ljubljani, Fakulteta za strojništvo, Ljubljana, Republika Slovenija Ministrstvo za infrastrukturo.
PREDSTAVITEV SMERNICE Peter Grasselli, CISA, CISSP SLOVENSKI INŠTITUT ZA REVIZIJO Ljubljana G32 Bussiness Continuity Plan (BCP) Review from IT Perspective.

PREDSTAVITEV SMERNICE Peter Grasselli, CISA, CISSP SLOVENSKI INŠTITUT ZA REVIZIJO Ljubljana G32 Bussiness Continuity Plan (BCP) Review from IT Perspective.
Delovni program 2013 „ENERGIJA“ Razpis s področja „Smart Cities & Communities“ mag. Milena Černilogar Radež, MZIP, Direktorat za energijo nacionalna kontaktna.

Delovni program 2013 „ENERGIJA“ Razpis s področja „Smart Cities & Communities“ mag. Milena Černilogar Radež, MZIP, Direktorat za energijo nacionalna kontaktna.
Tihomir Ratkajec, MD, PhD.  Work has a very central role  spend a large part of ours life at work.  working situations are changed  the increasing.

Tihomir Ratkajec, MD, PhD.  Work has a very central role  spend a large part of ours life at work.  working situations are changed  the increasing.
PODPORA IKT PRI POUČEVANJU NARAVOSLOVNIH VSEBIN

PODPORA IKT PRI POUČEVANJU NARAVOSLOVNIH VSEBIN
Prvi razpis programa Jugovzhodna Evropa potek razpisa Tomaž Miklavčič Ministrstvo za okolje in prostor Direktorat za evropske zadeve in investicije Novo.

Prvi razpis programa Jugovzhodna Evropa potek razpisa Tomaž Miklavčič Ministrstvo za okolje in prostor Direktorat za evropske zadeve in investicije Novo.
INTEROPERABILITY Marko Ambrož, MPA www.mju.gov.si Ohrid 2007.

INTEROPERABILITY Marko Ambrož, MPA Ohrid 2007.
1 EDUKACIJA BOLNIKOV pred uvedbo zdravila MAREVAN (tudi Sintrom) Alenka Mavri.

1 EDUKACIJA BOLNIKOV pred uvedbo zdravila MAREVAN (tudi Sintrom) Alenka Mavri.
Pregled programa MED 2014-2020 Nacionalni informativni dan ob prvem razpisu Ljubljana, 9. september 2015 mag. Nadja Kobe Služba Vlade RS za razvoj in.

Pregled programa MED Nacionalni informativni dan ob prvem razpisu Ljubljana, 9. september 2015 mag. Nadja Kobe Služba Vlade RS za razvoj in.
Pravilnik o projektni dokumentaciji Pravilnik o gradbiščih Uredba o ravnanju z odpadki pri gradbenih delih mag. Sabina Jereb, univ.dipl.prav. 9. posvet.

Pravilnik o projektni dokumentaciji Pravilnik o gradbiščih Uredba o ravnanju z odpadki pri gradbenih delih mag. Sabina Jereb, univ.dipl.prav. 9. posvet.
ADD HOME IZOBRAŽEVANJE. II. KAJ JE ADD HOME? VSEBINA Background – how does mobility at home look like nowadays? Potencial – kaj lahko naredimo s poseganjem?

ADD HOME IZOBRAŽEVANJE. II. KAJ JE ADD HOME? VSEBINA Background – how does mobility at home look like nowadays? Potencial – kaj lahko naredimo s poseganjem?
Sodelovanje Ministrstva za izobraževanje, znanost in šport v ERA-NET projektih Doroteja Zlobec 31. 3. 2014.

Sodelovanje Ministrstva za izobraževanje, znanost in šport v ERA-NET projektih Doroteja Zlobec
Slovenija in razvoj e-vsebin v primerjavi s svetovnimi trendi

Slovenija in razvoj e-vsebin v primerjavi s svetovnimi trendi
Project management implementation from the practical point of view

Project management implementation from the practical point of view
SPACE OF OPPORTUNITIES

SPACE OF OPPORTUNITIES
Center Vlade RS za informatiko

Center Vlade RS za informatiko

Similar presentations

Ads by Google