Információbiztonság a járóbetegellátásban

Átírás

1 Információbiztonság a járóbetegellátásban Dr. Hajnal Miklós Pál Fejlesztő és Tanácsadó Kft. DEMIN 2011 Debrecen, június

2 Bevezetés Az egészségügyben az adatok által hordozott információ nagy érték Az adatkezelés feladatai: Tárolás, hatékony elérés Sértetlenség biztosítása Titkosság garantálása Az infokommunikációs eszközök körének bővülése - új aspektusban az orvosi titoktartás a személyiségi jogok védelme Információbiztonság - Járóbeteg Dr. Hajnal Miklós 2

3 Témakörök A járóbeteg-ellátás sajátosságai információ-biztonsági szempontból Az információ-biztonság és a minőségirányítás kapcsolata Az információbiztonság kockázatai Az információbiztonság követelményei ISMS megvalósítás járóbeteg-ellátónál Esettanulmány Dr. Hajnal Miklós 3

4 Néhány idézet Dr. Kürti Sándor: Információink akkor kerülnek veszélybe, mikor megszületnek. A veszély végtelen nagyra nő, mikor a hálózatra csatlakozunk National Security Agency (NSA): Istenben bízunk, másokat lehallgatunk Ismeretlen informatikus: Akkor törnek be hozzád, ha érdekessé válsz Dr. Hajnal Miklós 4

5 A járóbeteg-ellátáshoz sorolható ellátási és szolgáltatási formák A jóbeteg-ellátás formái: Klasszikus önálló járóbeteg szakrendelés Kórházhoz kapcsolódó szakambulancia Egynapos sebészet Nappali kórház Egészségturizmus egyes területei (balneoterápia, fogturizmus, stb.) Dr. Hajnal Miklós 5

6 A járóbeteg-ellátás információbiztonsági sajátosságai 1. Ha az ellátó J0 kategóriájú mintavételi hely, a laborminták szállítása kockázati tényező A primer információhordozó kockázata Az ember a legkockázatosabb információ tároló és hordozó csak etikai korlátok vannak A papír tárolása és védelme problematikus, a kiadott dokumentumok (pl. leletek) sorsa nem követhető Digitális eszközök: az információbiztonság többnyire csak ezzel foglalkozik Dr. Hajnal Miklós 6

7 A járóbeteg-ellátás információbiztonsági sajátosságai 2. A szakorvosok többsége közreműködő, hatékonyságának fokozására mobil infokommunikációs eszközöket használ (notebook, pendrive, smart telefon, ipad, ipod, iphone, stb.). Ezek: WiFi-n elérhetők, manipulálhatók (még WPA kriptográfia alkalmazása esetén is) Vírustámadások kedvelt célpontjai Illetéktelen kezekbe kerülhetnek A járóbeteg-ellátás helyzete a progresszív ellátásban: kórház járóbeteg szolgáltató háziorvos. Az adatmozgás gyakori módja mindkét irányban: Papíron en történik. Mindkettő kockázatos. Dr. Hajnal Miklós 7

8 Az információbiztonság és a minőségirányítás kapcsolata Az ISO 9001 szabvány 6.3., 7.2., 7.5. fejezetei, a MEES BTA 7. standardjai megkövetelik a betegadatok védelmét Egyéb kapcsolatok: Védelemtudomány Jogtudomány, etika Informatikai rendszer Informatikai rendszer Minőségirányítás Minőségbiztosítás Információvédelem Informatikai biztonság Megbízható működés Jogtudomány, etika Védelemtudomány Hagyomá -nyos biztonság Dr. Hajnal Miklós 8

9 Az információbiztonság kockázatai 1. Dr. Hajnal Miklós 9

10 Az információbiztonság kockázatai 2. Az információt hordozó adatok fajtái: Páciens-adatok Működési/üzemeltetési adatok Az előzőekben látott kockázatok következtében a páciensadat/információ 1. Elveszhet 2. Torzulhat 3. Illetéktelen kezekbe kerülhet Dr. Hajnal Miklós 10

11 A kockázatok nyomán fellépő veszélyek Páciens szempontjából 1. Adatvesztés Személyiségi jogokat sért, nincs közvetlen veszély 2. Adat-torzulás Ha észrevehető, korrigálható, de van biológiai veszélykomponense 3. Illetéktelen kezekbe kerülés Személyiségi jogi veszélyt jelenhet a páciensre nézve Szolgáltató szempontjából A pótlás pluszköltségekkel jár Szakmai (műhiba!) vagy finanszírozási hiba veszélye adódhat Bizalomvesztés és presztizsveszteség az intézmény iránt Dr. Hajnal Miklós 11

12 Az információbiztonság követelményei és keretei Jogi szabályozás (most készül az információbiztonsági törvény) Műszaki követelmények: BS ,2:1995, majd ISO/IEC 17799:2000 Jelenleg: MSZ ISO/IEC 27001:2006, a sorozat most is folytatódik Nemzetközi szervezetek (ENISA, CERT, CSIRT, FIRST, EGC, stb.) Hazai szervezetek (PTA-CERT-Hungary, SZTAKI Hun-CERT, NIIF CSIRT, stb.) Dr. Hajnal Miklós 12

13 ISMS megvalósítás járóbetegellátónál Az ISMS (Iformation Safety Management System) kiépítése az MSZ ISO/IEC 27001:2006 szabvány alapján történik. Alapvető követelmények: Az adatvagyon felmérése A kockázatok felmérése, értékelése, kezelése, hatásaik minimalizálása Informatikai Biztonsági Szabályzat készítése és bevezetése Az ISMS működtetéséhez nélkülözhetetlen intézkedések megtétele Naplózási és jelentési rendszer kialakítása Dr. Hajnal Miklós 13

14 Végrehajtás Bevezetés Az ISMS PDCA bázisú alapmodellje Tervezés Érdekelt felek Az ISMS kialakítása Érdekelt felek Követelmények és elvárások az információbizton -ságra Az ISMS bevezeté -se és működte -tése A létrehozás, karbantartás és fejlesztés ciklusa AZ ISMS figyelemmel kísérése és átvizsgálása AZ ISMS fenntartá -sa és fejlesztése Irányított informá -cióbiztonság Ellenőrzés Dr. Hajnal Miklós 14

15 Informatikai Biztonsági Szabályzat (IBSZ) 1. Az IBSZ célja és hatálya 2. Általános biztonsági irányelvek 3. IT biztonsági feladatok 4. Az információ értékelése 5. Hálózati külső kapcsolat 6. Az IT eszközök védelme 7. Eljárás IT esemény bekövetkezésekor 8. Fizikai és környezeti biztonság 9. Munkaállomás és hálózat menedzsment 10. Az IT rendszerekhez való logikai hozzáférés 11. szabályzat 12. Az internet használatának szabályozása 13. Kapcsolódó jogszabályok, szabványok Dr. Hajnal Miklós 15

16 Az ISMS kialakítása Szabályzatok kidolgozása Szervezeti és Működési Szabályzat Titokvédelmi Szabályzat Ügyviteli Eljárásrend Tűzvédelmi Szabályzat Etikai Szabályzat Felelősök kijelölése IT biztonsági vezető Rendszergazda Vírusvédelmi felelős Hálózat- és tűzfal biztonsági felelős Dr. Hajnal Miklós 16

17 Dokumentumok Katasztrófaterv Információs vagyonleltár, melynek tételei: Adatvagyon-tárgy neve Az adatkezelést támogató alkalmazás Adatgazdai feladatkört betöltő munkakör Az adat biztonsági besorolása Nyilvántartás a kritikus eszközökről Hozzáférési jogosultságok meghatározása Információs adatbázis IT biztonsági események naplózása Dr. Hajnal Miklós 17

18 Esettanulmány: JKEK A Jánoshalma Kistérségi Egészségügyi Központ Nonprofit Kft. járóbeteg szakrendelője egyike az uniós támogatással, zöldmezős beruházással létesített hiánypótló intézményeknek. Tulajdonosi önkormányzatok: Jánoshalma, Rém, Borota, Hajós, Kéleshalom, Mélykút Szakorvosi járóbeteg szakrendelések száma: 15 Nem szakorvosi szakellátások és egyéb szolgáltatások száma: 5 Dr. Hajnal Miklós 18

19 A JKEK néhány jellemzője Az épület szakrendelő céljára épült Az informatikai rendszer kialakítása a legkorszerűbb hálózatépítési elvek alapján történt A HW-SW eszközök a kor színvonalán állnak A partnerként közreműködő háziorvosok, védőnők, gyermekorvosok a házban nyertek elhelyezést, így kapcsolatuk on-line Dr. Hajnal Miklós 19

20 Informatikai rendszer Hálózat modem - tűzfal 3 központi switch, melyekre csillagtopológiában csatlakoznak: Szerver, központi nyomtató, telefonközpont, kamerarendszer PC-k, notebook-ok minden szakrendelés és egyéb szervezeti egység részére WiFi router, csatlakozó PC-k és notebookok Tűzvédelmi rendszer Dr. Hajnal Miklós 20

21 Az informatikai rendszer főbb funkciói Betegadatok rögzítése, archiválása, betegelőjegyzés, betegforgalom A jelentési kötelezettségek teljesítése, teljesítmény-elszámolás (OEP, MEP, GYÓGYINFOK) A klinikai, finanszírozási, controlling, számviteli, munkaügyi, gazdasági nyilvántartási és gazdálkodási informatikai rendszerek kiszolgáló alrendszerének működtetése Biztonsági mentések, adatvédelmi szolgáltatások Multimédiás szolgáltatások Dr. Hajnal Miklós 21

22 Záró megjegyzések Az IT rohamos fejlődése új problémákat és feladatokat generál Az egészségügyi szakma művelői nem mindig realizálják az ebből eredő kockázatokat Kérdés: biztonságban vannak-e a betegadatok a világhálón? Az információ-védelem jogi és etikai kérdés is A biztonságért hozott áldozatokat össze kell mérni a várható előnyökkel De: a beteg-adatok integritása nem lehet kérdéses Dr. Hajnal Miklós 22

23 Köszönetnyilvánítás Köszönöm megtisztelő figyelmüket és várom kérdéseiket, hozzászólásukat Dr. Hajnal Miklós 23