Információbiztonság fejlesztése önértékeléssel

Átírás

1 Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011

2 Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső audit adatvédelmi kérdések információ 2

3 Elvárások biztonság fejlesztésére Ne jelentsen nagy terhet a munkatársaknak (egyszerű és átlátható működés) Ne legyen drága Valóban növelje a biztonságot Ne csak adatvédelmet, hanem információbiztonságot jelentsen

4 Együttműködés külső tanácsadó szervezettel Klinikánként eltérő adatvédelmi szintek Kompetencia és kapacitás hiány Megfelelő partner keresése Többlépcsős együttműködés lehetősége

5 Együttműködés programja lépésről- lépésre 1. lépés: Önértékelő kérdőíves felmérés és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe ( integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)

6 Célok: 1. lépés feladatai a felső vezetésnek bemutatni az információbiztonság jelentőségét, gyors és költséghatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni (Ez nem helyettesíti a későbbi részletes, helyszíni szakértői felmérések szükségességét.) Főbb problémákra rámutatni Tevékenységek: Képzés: : Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés Önértékelés: : Egy széles körű, általános célú önértékelési kérdőív az információbiztonság és adatvédelem gyakorlati alkalmazási szintjének meghatározása, valamint egy informatikai üzemeltetés körben Kiértékelések, következtetések

7 A bevezető információbiztonsági témájú képzés Képzés célja: az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának jelentőségére a Klinika működési - és adatbiztonságára. A képzés főbb témái: A képzés résztvevői: Középvezetők (és felső vezetők) Adatvédelmi felelősök Informatikai üzemeltetés Minőségirányítás Csapdás esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban; Az információbiztonság szerepe és jelentősége egészségügyi szolgáltató szervezetek működésében; A A kórházi információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai; Az informatikai üzemeltetés, mint szolgáltatás megbízhatóságának kritériumai, mutatói.

8 Az önértékelés módszere Általános célú Informatikai célú Célja A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése. Az informatikai rendszer fenyegetettségi és védelmi profiljának (előzetes) felmérése. Módszere A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése. Egy 8 10 oldalas kérdőív, az informatikai és informatikai biztonsági rendszer kulcselemei. Résztvevők köre Minél szélesebb körben, minden betegellátó és adminisztratív egységből több dolgozó. Szervezet informatikai vezetése. Kiértékelés módja IT alapú statisztikai kiértékelés, majd az eredmények alapján a kimutatható gyenge pontok. Szakértői verbális kiértékelés a kulcselemekre adott válaszok és összefüggéseik alapján.

9 Az önértékelés témakörei Általános célú önértékelés témái: o o o papíralapú dokumentációk biztonságos / bizalmas kezelése adatvédelmi szabályok és előírások megléte, ismerete és betartása informatikai biztonsági szabályozások megléte, ismerete és betartása az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában. Informatikai célú önértékelés témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány, működési környezet o kereteinek, működésének jellemzése (fenyegetettségi( profil) o üzemeltetése meglévő védelmi elemeinek jellemzése (védelmi( profil)

10 Eredmények Papíralapú betegdokumentáció-kezelés használhatósága Papíralapú betegdokumentációhoz való hozzáférhetőség Papíralapú betegdokumentáció másolatának biztonsága Papíralapú betegdokumentáció tárolásának, archiválásának biztonsága Adatvédelmi szabályozás létének ismerete Tudatosság social engineeringgel szemben Munkakörökhöz kapcsolódó különleges adatvédelmi követelmények Informatikai biztonsági szabályzat Jelszókezelés Betegadatokhoz való informatikai hozzáférés Betegadatok elektronikus tárolásának helye IT eszközhasználat

11 Eredmények Papíralapú dokumentumok biztonságos kezelése használhatóság hozzáférés másolat tárolás, archiválás 120 Adatok védelme Informatikai biztonsági szabályozások szabályzás adatok bizalmas kezelése soc.eng. munkaköri szabályzás jelszó betegadatokhoz adathely IT hozzáférés eszközhasználat

12 Eredmények Fenyegetettségek Védelmi profil IT- Alkalmazás Működtetés Infrastruktúra Humán

13 Humán csoport - eredmények Információbiztonsági felelős és speciális szakrtelem hiánya Információbiztonság hiánya a menedzsment általi központi elvárásokból Biztonság rendszeres felülvizsgálatának hiánya Új alkalmazottak (személyi jellegű) biztonsági kockázatai vizsgálata Külső kapcsolatok biztonsági veszélyeinek kezelése hiánya Belső biztonsági tudatossági képzések hiánya Belső biztonsági szabályok felülvizsgálata

14 Köszönöm megtisztelő figyelmüket! Fábián Zoltán Dr. Horváth Zsolt