Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr.



Hasonló dokumentumok
Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Információbiztonság fejlesztése önértékeléssel

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Informatikai Biztonsági szabályzata

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A Magyar Hang a regisztrált látogatók személyes adatait bizalmasan, a hatályos jogszabályi előírásoknak megfelelően kezeli.

30 MB INFORMATIKAI PROJEKTELLENŐR

Az információbiztonság új utakon

Informatika és Módszertani Osztály

Az ISO es tanúsításunk tapasztalatai

Kockázatkezelés az egészségügyben

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

ADATVÉDELMI NYILATKOZAT

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

Általános Szerződési Feltételek

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

30 MB INFORMATIKAI PROJEKTELLENŐR

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

A benchmarking fogalma

IRÁNYMUTATÁS A SZOLGÁLTATÁSOK ÉS LÉTESÍTMÉNYEK MINIMUMLISTÁJÁRÓL EBA/GL/2015/ Iránymutatások

ISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

A NIB KFT. XTRA BETEGTÁMOGATÓ PROGRAM SZOLGÁLTATÁSHOZ KAPCSOLÓDÓ ADATKEZELÉSI TÁJÉKOZTATÓJA

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Adatvédelmi tájékoztató Készült:

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Információbiztonság irányítása

New Land Media Kft. Székhely: 1123 Budapest, Nagyenyed utca 16. fszt. 4. telefon:

Az Információbiztonsági irányítási rendszer alapjai

Adatvédelmi tájékoztató

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Vezetői információs rendszer

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Adatkezelési tájékoztató

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

Tudjuk-e védeni dokumentumainkat az e-irodában?

2013. évi L. törvény ismertetése. Péter Szabolcs

Nem jeleníthető meg a kép. Lehet, hogy nincs elegendő memória a megnyitásához, de az sem kizárt, hogy sérült a kép. Indítsa újra a számítógépet, és

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Adatvédelmi Nyilatkozat.

évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata

Vállalati mobilitás. Jellemzők és trendek

Megbízhatóság az informatikai rendszerekben

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

Informatikai prevalidációs módszertan

ADATKEZELÉSI TÁJÉKOZTATÓ május 25. BEVEZETÉS

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

UNICEF fotópályázat Adatkezelési Tájékoztató

Adatvédelmi Szabályzat. MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság. Hatályos: 2011.

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

Bevezetés az Informatikai biztonsághoz

INFORMATIKAI SZABÁLYZAT

Adatvédelmi Tájékoztató

Headline Verdana Bold

Akkreditáció szerepe és lehetőségei a hazai egészségügyi ellátás szakmai minőségfejlesztésében

INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

Adatvédelmi Nyilatkozat.

Számadó, R. Nagy, I.: Kiberbizonytalanság

AZ IKIR TANULSÁGAI ÉS KITERJESZTÉSE

ADATVÉDELMI TÁJÉKOZTATÓ

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Adatvédelmi tájékoztató

Bevezetés. Adatvédelmi célok

CÉGDIAGNOSZTIKA tanulmány Cégdiagnosztika tanulmány. innováció-menedzsment felmérés folyamata.

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

A minőség és a kockázat alapú gondolkodás kapcsolata

Adatkezelési tájékoztató

MakiMaki.hu. Adatkezelési nyilatkozat

Az egészségügyi informatika jelene DR. KOVÁCS ARNOLD

Átírás:

Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr. Tóth Zoltán (INFOBIZ Kft.) Az egészségügyi szolgáltató szervezetek életében egyre jelentősebb szerepet kap az adatok, az információk biztonságának, bizalmasságának védelme. Noha a kérdés manapság egyre divatosabbá is válik, a kérdéssel való foglalkozást nem a divat, hanem a kényszerűség és az intézmény saját érdeke váltja ki. Hiszen az információk biztonságának és bizalmasságának sérülése közvetett és közvetlen károkat, veszélyeket jelenthet az intézmény számára. Ha a minőségirányítási rendszer nézőpontját választjuk kiindulási alapul, akkor megfogalmazhatjuk, hogy az intézmény működése az intézmény folyamatainak működéséből áll össze. Az egyik nagyon fontos erőforrás a folyamatok működéséhez az információ. Hogyha ez az információ a kellő időben nem áll rendelkezésre, vagy pontatlan az információ, akkor annak súlyos gyógyítási, betegellátási vagy egyéb intézmény-működési következményei lehetnek. Ha az információk kiszivárognak, és illetéktelenek (vagy illetékesek) visszaélnek az információkkal, akkor azoknak szintén súlyos, sokszor jogi következményei lehetnek. Fontos tehát az információnak, mint erőforrásnak, a megfelelő és biztonságos kezelése! Elég, ha mindenki saját maga felteszi magának, saját intézményére vonatkoztatva a következő működési kérdéseket, és őszintén elgondolkozik a válaszokon: Tisztában vagyunk az információbiztonság kapcsán felmerülő működési kockázatokkal és megfelelően foglalkoztunk velük? A betegek által rendelkezésre bocsátott adatokat / információkat megfelelően kezeljük és védjük a szervezetünkön belül? 1

Valóban bizalmasan kezeljük / kezelik az alkalmazottak az információkat az intézményen belül és kívül? Biztosítva vagyunk az információink sértetlenségéről? Pontos és ellenőrzött információkkal dolgozunk? Tényleg csak azok és csak akkor férhetnek hozzá az információkhoz, akik erre jogosultsággal rendelkeznek? Nyugodtak vagyunk az információk folyamatos rendelkezésre állását illetően? Felkészültünk az esetleges adatvesztések esetén a megfelelő visszaállításukra? Az egyik szigorú követelmény, amelyre az adatok kezelése kialakításánál figyelemmel kell lenni, az mindig a vonatkozó jogszabályi háttér betartása. Jelenleg az egészségügyi gyógyító (betegellátó) szervezetekre vonatkozó legfontosabb, információbiztonsághoz kapcsolódó jogszabályok a következők: 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 1997. CLIV törvény az egészségügyről 1997. XLVII törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 2080/2008. (VI. 30.) kormány határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról De nézzük, hogy mit is jelent mindez a gyakorlatban! Amikor információk, adatok biztonságáról van szó, akkor mindig valamilyen adat valamitől való 2

védelmére gondolunk. Tehát akkor nézzük meg konkrétan, hogy az egészségügyi szervezeteknek milyen adatokat kell védeni, és mitől? Milyen főbb adatokat kell védeni? betegek egészségügyi és személyes adatait; egészségügyi dolgozók, beszállítók, stb. adatait; gyógyszerek, vizsgálati eszközök és eljárások, stb. adatait; minőségirányítási dokumentációt és gyűjtött indikátorokat; kórházi gazdasági / finanszírozási / ügyviteli adatokat. Kitől mitől kell védeni? Adatszivárgástól (pl. jogosulatlanok hozzáférése az adatokhoz); Adatok hibás felhasználásától (pl. hibás információk a gyógyításban, menedzsmentben); Nem az előírt célnak megfelelő adatkezeléstől (pl. adatok illetéktelen célú felhasználása gyógyszercégek piaci versenyelőnyéhez); Adatok rendelkezésre állásának hiányától (pl. üzemszünet az informatikai rendszerben). Nézzünk néhány példát ezekre, a betegadatok fenyegetettségei esetén: Adatszivárgás: Illetékteleneknek (szándékosan vagy véletlenül) kiadott betegadatok, majd azokkal való visszaélés. (Erre számos példát tartalmaz a jelen konferencián a megelőző, Tóth Zoltán: Csapdás esetek és ezek tapasztalatai a betegek adatvédelmével kapcsolatban c. előadása.) Hibás felhasználás: Az elnézett, vagy elcserélt vizsgálati eredmények (vagy kórlapok) alapján történő hibás döntés a kezelésről. 3

A gondatlanul rögzített adatok alapján készült betegdokumentációk következményei. A gondatlanul rögzített vagy szándékosan kozmetikázott adatok alapján készült finanszírozási adatszolgáltatás. Nem az előírt célú felhasználás: Szakdolgozatokban, tudományos munkákban nem megfelelően kezelt adatok közzététele. Adatok rendelkezésre állásának hiánya: Diagnosztikához, beavatkozáshoz, gyógyításhoz nem, vagy késve (vagy hibásan) állnak rendelkezésre a szükséges információk. Ezek alapján látható, hogy milyen sokféle információval dolgozik (egyidejűleg) egy egészségügyi intézmény, és hogy ezeknek az információknak a biztonsága mekkora jelentőséggel bír. Ezek a követelmények egy része közvetve megjelenik a minőségirányítási rendszer egyes szabványpontjaiban és a Magyar Egészségügyi Ellátási Standardok követelményeiben is mindig az adott folyamat biztonsága és szabályozott működése szempontjából. Ezek az MSZ EN ISO 9001:2009 szabványpontok, amelyek közvetve információ-biztonságra vonatkozó követelményeket tartalmaznak, a következők: 4.2.3. A dokumentumok kezelése (Követelmény: A szabályozó dokumentumok módosítatlanul, az érvényes formában mindig álljanak rendelkezésre az arra jogosultaknak, módosításuk csak az arra illetékes által a megfelelő dokumentumkezelési folyamat lépéseként legyen lehetséges.) 4.2.4. A feljegyzések kezelése (Követelmény: Az igazoló dokumentumokat az arra jogosultak készíthessék, a feljegyzések hitelességét a készítőik igazolják, a feljegyzések a későbbiekben módosítatlanul az arra jogosultak számára (és csak nekik) mindig álljanak rendelkezésre.) 4

5.5.3. Belső kommunikáció (Követelmény: A folyamatok működtetéséhez szükséges belső kommunikáció működtetése, amely maga az adatok / információk transzportját, átadását jelenti. Ezek közben értelemszerűen az adattartalom nem sérülhet vagy nem módosulhat, illetve a kommunikációnak biztosítania kell, hogy annak során az illetékesek (mindig időben) hozzájutnak a szükséges információkhoz, és az illetékteleneket pedig kizárja abból.) 6.3. Infrastruktúra (Követelmény: Az informatikai és az információs rendszerek a vállalati infrastruktúra részét képezik, aminek biztosítani kell a folyamatos, megbízható és biztonságos működtetését.) 7. A termék előállítása (Követelmény: Az egészségügyi intézmények esetén a termék alatt a betegek ellátása, gyógyítása, mint szolgáltatás értelmezhető. Ennek folyamatai során a kezelt információk, mint erőforrások megfelelő (megbízható, biztonságos) kezelése a működés egyik alapfeltételét jelenti, a főfolyamatok teljes életciklusában, egészen a tevékenységek tervezésétől az elvégzéséig utókövetést beleértve, annak támogató tevékenységeivel együtt.) 7.2. Ügyféllel kapcsolatos folyamatok (Követelmény: Folyamatok kialakítása a termékre / szolgáltatásra vonatkozó követelmények azonosítására, teljesíthetőségére, ill. az ezekkel kapcsolatos folyamatos vevői kapcsolattartásra és kommunikációra. Az egészségügyi ellátás esetén ezek felölelik többek közt a betegek személyes adatait, kórelőzményeikkel és egészségügyi állapotukkal kapcsolatos adataikat és információikat, a gyógyszerek és gyógymódokkal kapcsolatos információkat és a vonatkozó jogszabályokat is.) 7.5.1 A termék-előállítás és a szolgáltatás-nyújtás szabályozása; c) a megfelelő berendezések használata (Követelmény: A gyógyításhoz szükséges megfelelő 5

berendezések felölelik mid az informatikai rendszer eszközeit, mind a különböző egészségügyi diagnosztikai és beavatkozást ellátó speciális műszereket, eszközöket. Ezek megfelelő karbantartása, működtetése, rendelkezésre állásuk biztosítása, ill. működési és az általuk tárolt betegadatok biztonsága mind a berendezések működtetése dokumentált folyamatainak részét képezi.) 7.5.4 A vevő tulajdona (Követelmény: A betegek személyes és betegséggel kapcsolatos adatai mind a beteg tulajdonát képezik.) 8.4. Az adatok elemzése (Követelmény: A statisztikai adatfeldolgozás lehetőséget ad trendek megállapításához, kutatások végzéséhez, illetve az intézmény működése vonatkozásában helyesbítő és megelőző intézkedések bevezetéséhez. Ehhez azonban az egyes betegadatok csak olyan módon használhatók fel, hogy azok a feldolgozás során anonimitásukat megtartsák. További fontos szempont, hogy az adatok feldolgozása során az adatminőség romlása vagy azok előnyszerzési célból történő torzítása a statisztikai eredmények, majd az azokból levezetett intézkedések hibáihoz vezethetnek.) MEES értelmezhető standardjai, pl.: MEES 1.0 - BTA.7. standard (Követelmény: A betegek egészségügyi és hozzájuk kapcsolódó személyes adataikat a hatályos jogszabályi előírásoknak megfelelően bizalmasan kezeljék, és elvesztés vagy illetéktelen használat ellen védjék.) Ezek után értelmezzük, hogy mit is értünk tulajdonképpen az információ biztonsága alatt. Ehhez először magát az információ fogalmát kell meghatározni: Az információ = (számomra értelmes) tartalommal bíró adat. 6

Ezek után az információ biztonsága a következő három követelmény egyidejű teljesülését jelenti: Az információ rendelkezésre állása az információ minden jogosult (személy, folyamat, ) számára a szükséges időben mindig álljon rendelkezésre! Az információ sértetlensége az információ az eredeti, módosítatlan formájában álljon rendelkezésre! Az információ bizalmassága az információ csak az arra jogosultak számára álljon rendelkezésre! Az információk jellemzően nem önmagukban léteznek, hanem mindig valamilyen információhordozóhoz kötötten. Az egyes információhordozók tárolják az információkat, és egyben az információk biztonsága ezeken keresztül sérülhet is! Az egyes információhordozók nagyon sokfélék lehetnek. Azonban egyik csoportosítási szempont szerint jellegük alapján a következő három kategóriába sorolhatók: Informatikai adathordozók (informatikai rendszer biztonsága üzemeltetésben, felhasználók kezelésében, ) Papír (és hagyományos) adathordozók (adminisztrációs folyamatok, iratkezelés és tárolás, TÜK, ) Személyek, mint adathordozók (fenyegetések: social engineering, emberi tényező, szándékos és szándékolatlan esetek, ) Az adathordozóknak / információhordozóknak számtalan fajtája, megnyilvánulása van. Nézzünk ezek közül néhány példát a következő ábrán: 7

Az adatok fenyegetettségei során fel kell mérni, hogy a védeni kívánt adatok hol is vannak tulajdonképpen. Az informatikai adathordozók esetén ezek alapvetően a következő kategóriákba sorolhatók (szemléletesen, de a teljesség igénye nélkül): Szervereken adatbázisokban; Szervereken önálló fájlokként, könyvtár-struktúrákban; PC-ken / notebookokon (akár hálózathoz kapcsolt munkaállomáson, akár önálló gépként) Diagnosztikai berendezések, műszerek memóriájában / adathordozóin Kimentve (egyénileg) külső elektronikus adathordozókon (CD / DVD / DAT / Floppy / USB Flash / ) Központi mentésekben, archív állományokban (backup site-ok, stb ) 8

Ennek megfelelőn ezek azok a helyek, ahol pl. adatszivárgás lehetőségei is vizsgálhatók. Így néhány tipikus, illetéktelen általi adathozzáférési fenyegetettség a következő: Illetéktelen bejutása a szerverterembe. Illetéktelen hozzáférése a számítógépekhez / notebookokhoz. Illetéktelen hozzáférése a mentésekhez. Illetéktelen hozzáférése a külső / mobil adathordozókhoz. Illetéktelen bejutása az interneten / külső hálózaton át az informatikai hálózatba (hacking, virus, spyware, maleware, trojan, spam, hoax, ). Illetéktelen hozzáférése a WiFi-hez. stb. Ugyanakkor az adatokhoz való hozzáférés nemcsak illetéktelenek általi hozzáférések következtében fordulhatnak elő. Statisztikák sajnos kimutatták, hogy az információbiztonsági incidensek legnagyobb része emberi tényezőre, hibára vezethető vissza, valamint azokon belül a döntő többség esetén belső munkatársra volt visszavezethető a hiba. Ilyen esetben illetékes általi hozzáférésről, mint hibáról beszélünk. Amikor adatszivárgás esetén egy belső ember (pl. kórházi dolgozó) kiadja a bizalmas adatokat illetéktelennek, akkor ez többféle okra lehet visszavezethető. Nézzünk erre néhány tipikus példát: nem tudta, hogy nem lehet; megtévesztették, azt hitte ki kell adnia; megfenyegették / megzsarolták; bosszúból (mert sértettnek érzi magát!); csak hogy megmutassa, hogy milyen rossz a rendszer; stb 9

A fenyegetettségek elleni védekezés kiépítése csak tudatosan, módszeresen végrehajtott intézkedések sorozatával lehetséges. A konkrét védelmi intézkedések kiépített rendszere minden egyes szervezet, vállalat, intézmény esetében más és más. Mindenütt egyedileg testre szabottan kell a védelmi rendszert, annak elemeit meghatározni. Minden biztonsági rendszer olyan, mint egy lánc. A biztonság erősségét a leggyengébb elem ( láncszem ) biztonsága határozza meg. Ebből következik, hogy hiába növeljük bármelyik fenyegetettség elleni védekezést divatos és drága eljárások vagy eszközök bevezetésével, ha egy másik, annál gyengébb biztonságú elem biztonságát nem javítjuk! A költséghatékony védekezést mindig az egyenszilárdságú védelem felé való törekvés valósítja meg a legjobban! Ebben segítenek a védelem kiépítése során az információbiztonsági kockázatkezelés módszerei, amelyek segítségével objektíven összemérhetővé válnak az egyes fenyegetettségek, veszélyhelyzetek kockázatai, illetve az ott működő jelenlegi védelem erősségei gyengeségei. Az információbiztonság megvalósítása során, az adatok / információk szivárgásának és az illetéktelen hozzáférések megakadályozására, illetve az adatok folyamatos rendelkezésre állásának biztosítására számos, és sok különböző szakmai területhez tartozó intézkedés hozható. Ezek az intézkedések egymással összefüggnek, egymással kölcsönhatásban vannak, és rendszerben alkalmazva egymást erősíthetik. Az információvédelmi eljárások szakmai területei a következők: objektum, terület védelem, személy védelem (rendszerben a személy mint információhordozó védelme, illetve a rendszer védelme személyektől, a személyekhez kapcsolódó támadásoktól), hagyományos adatok (pl. papíralapú), módszerek, eszközök védelme, informatikai védelem (fizikai, logikai és szervezési eljárások), 10

elemi károk, természeti vagy társadalmi katasztrófahelyzetek elleni védelem (az információbiztonság szemszögéből). Az INFOBIZ Kft. kidolgozott egy több lépcsőből álló programot az egészségügyi betegellátó intézmények számára az információbiztonsági irányítási rendszer kiépítésére, amely során minden lépcső önálló projektként / részfeladatként valósítható meg, miközben minden lépcső után önálló és kézzel fogható eredmények születnek, amelyek során az információbiztonság erőssége fokozatosan, lépésről lépésre javítható. 1. lépés: Adatvédelmi, információbiztonsági témájú figyelemfelhívó és tudatosságnövelő ismeretterjesztő prezentációt követően önértékelő kérdőíves felmérés és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Az információs vagyon és fenyegetettségeinek, kockázatainak felmérése és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe (az integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is) 11

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés