Információbiztonság a járóbeteg-ellátásban Dr. Hajnal Miklós Pál (Adware Q1 Fejlesztő és Tanácsadó Kft)



Hasonló dokumentumok
Információbiztonság a járóbetegellátásban

Szabványok, ajánlások

A szolgáltatás-minőség és az információ-védelem kapcsolata a betegbiztonsággal az otthoni szakellátásban

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

BIZTONSÁGI AUDIT. 13. óra

Információbiztonság fejlesztése önértékeléssel

IT biztonság és szerepe az információbiztonság területén

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Informatikai Biztonsági szabályzata

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

A minőségirányítási rendszer auditálása laboratóriumunkban. Nagy Erzsébet Budai Irgalmasrendi Kórház Központi Laboratórium

A megújult NAH tevékenységének tapasztalatai, eredményei

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Jogalkotási előzmények

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Bevezetés az Informatikai biztonsághoz

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Tudjuk-e védeni dokumentumainkat az e-irodában?

2013 L. - tapasztalatok Antidotum 2015

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Irányítási rendszerek tegnap, ma, holnap Változni és változtatni

Informatikai biztonsági elvárások

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Dr. Muha Lajos. Az L. törvény és következményei

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

(Minőségirányítási eljárás)

A klinikai auditrendszer bevezetése és működtetése

The Leader for Exceptional Client Service. szolgáltatások

Az ISO es tanúsításunk tapasztalatai

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

INFORMATIKAI SZABÁLYZAT

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

30 MB INFORMATIKAI PROJEKTELLENŐR

Mester Példány. Integrált Irányítási Rendszer Dokumentáció

Minőségügyi rendszerek ágazati irányai. Dr. Mészáros János helyettes államtitkár EMMI, Egészségügyért Felelős Államtitkárság május 27.

Technológia az adatszivárgás ellen

Egészségügyi ágazati kataszterek fejlesztése

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

XXVII. Magyar Minőség Hét Konferencia

2013. évi L. törvény ismertetése. Péter Szabolcs

Muha Lajos. Az információbiztonsági törvény értelmezése

evosoft Hungary Kft.

Minőségügyi Eljárásleírás Vezetőségi átvizsgálás

EOQ MNB QMHC eü. specifikus tanfolyam ( 4x2 nap) (2016.október-november) EOQ QMHC tanfolyam

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

NAR IRT 2. kiadás

HISCOM GOP

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

Szövetségi (föderatív) jogosultságkezelés

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

Vállalati adatvédelem

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

ISO 9001 revízió Dokumentált információ

Vállalati mobilitás. Jellemzők és trendek

Megbízhatóság az informatikai rendszerekben

Kockázatkezelés az egészségügyben

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

Minőségügyi Menedzser az Egészségügyben témájú szakmai tanfolyam (EOQ QMHC tanfolyam)

Papírmentes technológiák a. könyvvizsgálatban

ÉLELMISZERLÁNC-BIZTONSÁGI STRATÉGIA

Integrált minőségirányítási rendszerek a laboratóriumi munkában (Akkreditáció, GLP, GMP) Karsai Ferencné osztályvezető

P É C S I T U D O M Á N Y E G Y E T E M K L I N I K A I K Ö Z P O N T MK-KK/M02 MINŐSÉGIRÁNYÍTÁSI DOKUMENTÁCIÓK JEGYZÉKE

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Minőség szervezeti keretekben Az ELTE EKSZ Minőségirányítási

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Informatikai prevalidációs módszertan

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Védené értékes adatait, de még nem tudja hogyan?

INFORMATIKAI BIZTONSÁG ALAPJAI

Nemzetközi jogszabályi háttér I.

Nemzeti Akkreditálási Rendszer

KOCKÁZATSZEMLÉLETŰ AUDIT: MIÉRT ÉRDEKLI A TANÚSÍTÓT (IS) A BETEGKOCKÁZAT?

SZAKÉRTŐI SZOLGÁLTATÁS (VOUCHER TERMÉK)

Bevezetés. Adatvédelmi célok

Informatikai biztonsági ellenőrzés

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

NIIF és a Sulinet + fejlesztések

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

Átírás:

Információbiztonság a járóbeteg-ellátásban Dr. Hajnal Miklós Pál (Adware Q1 Fejlesztő és Tanácsadó Kft) Bevezetés Az egészségügyi intézmények információs rendszerében az igazi érték az adatok által hordozott információ, amely ma már változatos formákban jelenik meg (szöveg, kép, video, mérési eredmény, hang). Az adatokat tárolni kell, biztosítani kell a hatékony és gyors elérést, de ugyanakkor gondosodni kell a sértetlenségről és titkosságról is. Az informatikai és kommunikációs eszközök körének soha nem látott bővülése kapcsán új dimenziót kapott a személyiségi jogok és az orvosi titoktartás védelme. Ez a komplexitás rendkívül sebezhetővé teszi a páciensekről gyűjtött adatokat kezelő rendszereket, így az adatok védelme, a rendszerek biztonsága napjainkra az egyik legjobban preferált kérdéssé vált [D1], [T1]. A járóbeteg-ellátás sajátosságai információ-biztonsági szempontból A járóbeteg-ellátás a korábbi SZTK -hoz képest jelentősen kibővült: ma már ide számíthatjuk a következőket: klasszikus önálló járóbeteg szakrendelés, kórházhoz kapcsolódó szakambulancia, egynapos sebészet, nappali kórház, egészségturizmus vonatkozó szegmense (balneoterápia, fogturizmus, stb.). Az ily módon kibővített értelmezésű járóbeteg-ellátás néhány olyan sajátossággal rendelkezik, ami speciális információ-biztonsági problémákat vet fel. Ezek közül a betegadatokra vonatkozóan legfontosabbak a következők: 1. Az egyik legnagyobb információbiztonsági probléma nem is az adatokkal kapcsolatos, hanem azokkal a vizsgálati anyagokkal, mintákkal függ össze, amelyekből a diagnosztikához, terápiához szükséges nélkülözhetetlen adatokat 1

kinyerik. A legtöbb járóbeteg-ellátó ugyanis legfeljebb J0 kategóriájú mintavételi helyként funkcionál, és a mintákat gyűjtő rendszerben központi távoli laboratóriumokban elemzik. A jelenlegi mintaszállítási rendszerben véges valószínűsége van annak, hogy maga a minta megváltozik, így a belőle kinyerhető információ hamis lesz. 2. Az információhordozó a jelenlegi átmeneti rendszerekben többféle lehet: (i) A korábban általános, de még ma is gyakran megkövetelt papír, ami lehet kinyomtatott vagy kézzel írt dokumentum, röntgenfilm, UH nyomtatvány, stb. Ezek tárolása általában megoldott, az archiválás a helyhiány miatt többnyire problematikus. Utóbbi esetben a védelmet, az illetéktelen hozzáférés megakadályozását többnyire csak a rendetlenség szolgálja. Sajátos problémaforrás, hogy a páciens távozáskor kézbe kapja az addig szigorú adatvédelmi módszerekkel titkosított és óvott személyes adatait, melyek útja és sorsa ettől kezdve követhetetlen. (ii) Digitális (gyakran elektronikusnak mondott) eszköz, vagy struktúra, mint pl. számítógép, hálózatok, CD, DVD, stb. Az információbiztonsági rendszerek általában csak ezzel a csoporttal foglalkoznak. (iii) Az ember, mint információ tároló és hordozó eszköz. A teljes ellátó rendszernek ez a legsebezhetőbb eleme, mivel - durva esetektől eltekintve szinte csak etikai eszközökkel lehet adatbiztonsági szempontból kielégítően kézben tartani. A járóbeteg-ellátás esetében különösen problematikus, hogy a gyakori orvos-váltások, a nagy esetszám, az asszisztencia csere-beréje és fluktuációja miatt általában nem módosítják a belépési kódokat, sőt azokat felírják a képernyőre, illuzórikussá téve az információbiztonsági rendszert. A helyzetet árnyalja az etikai kódexek hiánya, és sok olyan szubjektív tényező, mint a jólértesültség fitogtatása, a kirúgás miatti bosszú, s.í.t. 3. A szakorvosok többsége részmunkaidőben, közreműködőként látja el feladatát. Saját mozgékonyságának, rugalmasságának fokozása érdekében gyakran használ korszerű infokommunikációs eszközöket adatok tárolására, hordozására a telepített, hálózatba szervezett eszközökön kívül (saját notebook, 2

pendrive, palmtop, okostelefon, ipad, ipod, iphone, beszédfelismerő, stb.). Ezek az eszközök a vezeték nélküli, mikrohullámú kommunikációs rendszerek (W@P, WLAN, WiFi, stb.) révén még a WPA (WiFi protected access) alapú kriptográfiai módszerek alkalmazása esetén sem nyújtanak kellő védelmet, aránylag könnyen feltörhetők. (Nem is beszélve arról, hogy maguk az eszközök is éppen hordozhatóságuk, kicsiny méretük révén könnyen illetéktelen kezekbe kerülhetnek.) 4. A progresszív ellátási rendszerben a járóbeteg-ellátás közbülső helyet foglal el a háziorvosok és a fekvőbeteg-intézmények között. Az általánosnak mondható területi széttagoltság és az on-line kapcsolat hiánya, vagy fejletlensége miatt a páciens-információk mindkét irányban papíron, vagy jobb esetben e-mailen kerülnek a célállomásra. Mindkét mód súlyos információbiztonsági kockázatot hordoz magában, mintegy lyukat ütve az egyébként mintaszerűen megvalósított védelmi rendszeren. Az információ-biztonság és a minőségirányítás kapcsolata Az információbiztonsági rendszer nem működhet eredményesen és hatékonyan megfelelően megvalósított és alkalmazott minőségirányítási rendszer nélkül, mivel a fentiek is mutatják, hogy ez nemcsak műszaki és informatikai probléma (bár gyakran csak annak tekintik). Egyébként mind az ISO 9001 szabvány, mind a MEES irányelv indirekt módon érinti ezt a kérdést. A minőségirányítási követelmény eléggé laza a 6.3., 7.2. és 7.5.4. fejezet tartalmaz utalásokat az információ védelmére [M3]. Az egészségügyi standard-gyűjtemény keményebb; a III/1 Betegjogok, tájékoztatás, adatkezelés (BTA) fejezetben abta.7. standard egyértelműen megköveteli: A betegek egészségügyi és hozzájuk kapcsolódó személyes adatait a hatályos jogszabályi előírásoknak megfelelően bizalmasan kezelik és elvesztés, vagy illetéktelen használat ellen védenek. [E1]. Mindenesetre fontos gyakorlati tapasztalat, hogy tisztességesen kidolgozott, bevezetett és működtetett minőségirányítási rendszer amely tartalmazza a 3

szükséges minőségbiztosítási elemeket is - nagymértékben segíti az informatikai biztonsági rendszer kialakítását és alkalmazását. A két rendszer és egyúttal más diszciplínák - kapcsolatát mutatja az 1. ábra. [I7] 1. ábra Minőségirányítás Minőségbiztosítás Informatikai rendszer Információvédelem Informatikai biztonság Megbízható működés Védelemtudomány Hagyományos biztonság Jogtudomány, etika Az ábra szemléletesen mutatja az információbiztonság nem informatikai elemeinek fontosságát és kapcsolódását. Az információbiztonság kockázatai A járóbeteg-ellátásban mint általában az egészségügyi ellátásokban az információt hordozó adatoknak két fő csoportja különböztethető meg: (i) Páciens-adatok, és (ii) Működési/üzemeltetési adatok. Információbiztonsági szempontból a (i) csoport a kritikus a továbbiakban jórészt ezzel foglalkozunk. A (ii) csoport problematikája lényegében azonos minden egyéb szervezetével, eltekintve egy fontos kivételtől. Az egészségügyi ellátóknál egyre jobban terjednek azok a processzoros, on-line működtetésű diagnosztikai és terápiás berendezések, amelyek üzemeltetési zavarok esetén kiesnek, esetleg téves, vagy 4

hibás adatokat szolgáltathatnak, közvetlen életveszélynek kitéve ezáltal a pácienseket. Az adatokat, mint információhordozót fenyegető kockázatokat a 2. ábra mutatja. [I7] 2. ábra A digitálisan kezelt páciens-adatokat az ábrán látható kockázatok következtében az alábbi veszélyek fenyegetik: az adat/információ 1) elveszhet 2) torzulhat 3) illetéktelen kezekbe kerülhet A páciens szempontjából 1) a személyiségi jogokat sérti, de nem jelent közvetlen veszélyt. Ha 2)-t észrevesszük, korrigálható, de van közvetlen veszélykomponense. 3) veszélyt jelenthet a páciensre nézve. A szolgáltató szemszögéből 1) pluszköltséget jelent, 2) esetében fennáll a szakmai és/vagy 5

finanszírozási hiba veszélye, 3) egyértelmű bizalom- és presztizsvesztéshez vezet. Az információbiztonság követelményei Az IT technológia robbanásszerű fejlődése drámai módon megnövelte az alkalmazások kockázatát. Emiatt az 1. ábrán jelzett társtudományok mindegyike élénk tevékenységbe kezdett a kockázatok, sőt potenciális veszélyek csökkentése érdekében. E törekvések célja, hogy a társadalom működése szempontjából létfontosságú információs infrastruktúrák biztonságos működése, védelme lehetőleg optimális legyen [K1], [K2]. A jogi szabályozás területén az USA élenjáró, ahol a polgári ezen belül az egészségügyi információk védelmét állambiztonsági és terrorizmusellenes aspektusok is motiválják (USA Patriot Act, 2001). [H1] A hazai jogalkotás is igyekszik követni a nemzetközi trendeket [K4]. Az információbiztonság műszaki követelményeit elsőként a British Standard Institute által kibocsátott BS 7799-1,2:1995 szabvány foglalta össze. Az International Organization of Standardization ISO/IEC 17799:2000 néven nemzetközi szabvánnyá nyilvánította. [B1], [F1] Az újabb frissítés nyomán született az ISO/IEC 27001:2005 szabvány, amely 2006-ban magyar szabvánnyá is vált [M1], [M4]. Azóta családdá terebélyesedő, az ISO 9000 logikáját követő követelményrendszer újabb és újabb tagjai látnak folyamatosan napvilágot [I1], [I2], [I3], [I4], [I5], [I6], mutatva a kérdés fontosságát. Természetesen egyéb szakmai szabályozók is léteznek (ISO/IEC 15408 Common Criteria, BS 15000:2000 Information Technology Infrastructure Library, COBIT 4.1. Control Objectives for Information and Related Technology, s.í.t.) [H1], [C1]. Ezek általában egyes partikuláris területeket kívánnak lefedni, ezért az ISO/IEC 2700 szabványcsalád mindezeket figyelembe véve megkísérli a teljes terület komplex kezelését. 6

Az információbiztonság hatékony megvalósítása érdekében számos szervezet alakult, melyek elsősorban az állambiztonság céljait szolgálják, de tevékenységük kihat az egészségügy területére is (ENISA, CERT, CSIRT, FIRST, EGC, s.í.t., hazánkban PTA-CERT-Hungary, SZTAKI Hun-CERT, NIIF CSIRT) [H1]. ISMS megvalósítás járóbeteg-ellátónál Az információbiztonságot megvalósító ISMS (Information Safety Management System) rendszerek kiépítése az MSZ/IEC 27001:2006 szabvány követelményei alapján történik [M1]. Az ISMS-t a PDCA alapmodell motiválja, melynek lényegét a 3. ábra mutatja. 3. ábra Tervezés Érdekelt felek Az ISMS kialakítása Érdekelt felek Követelmények és elvárások az információ biztonságra Végrehajtás Az ISMS bevezetése és működtetése A létrehozás, karbantartás és fejlesztés ciklusa AZ ISMS figyelemmel kísérése és átvizsgálása AZ ISMS fenntartása és fejlesztése Bevezetés Irányított információ biztonság Ellenőrzés A szabvány egyik legfontosabb követelménye olyan ISMS szabályzat elkészítése és működtetése, amely az információbiztonsági szabályzat szuperkészletének tekinthető. Magának a tevékenységnek a gerince az 7

adatvagyon felmérése, valamint a kockázatok felmérése, értékelése és a kockázatok kezelése, hatásuk minimalizálása. A szabvány tudatosan épít az ISO 9001 és ISO 14001 szabványokkal fennálló kapcsolódásokra, és ösztönöz az együttes alkalmazásra. Az ISMS járóbeteg-ellátónál történő realizálását a fentebb említett sajátosságokon túlmenően az is befolyásolja, hogy lévén többnyire kisebb szervezet az informatikai rendszernek nemcsak a kiépítését, hanem a fenntartását, működtetését is külső közreműködő végzi. Ez azt is eredményezheti, hogy az információbiztonsági rendszer szabványban előírt szinte valamennyi szereplője külsős, ami persze újabb biztonsági kockázatot rejt magába. Informatikai Biztonsági Szabályzat (IBSZ) Az ISMS alapvető dokumentuma, amely az MSZ/IEC 27001:2006 szabvány követelményei alapján készül. Fő fejezeti a következők: 1. Az IBSZ célja és hatálya 2. Általános biztonsági irányelvek 3. IT biztonsági feladatok 4. Az információ értékelése 5. Hálózati külső kapcsolat 6. A számítástechnikai eszközök védelme 7. Eljárás IT esemény bekövetkezésekor 8. Fizikai és környezeti biztonság 9. Munkaállomás és hálózat menedzsment 10. Az IT rendszerekhez való logikai hozzáférés 11. E-mail szabályzat 12. Az internet használatának szabályozása 13. Kapcsolódó jogszabályok, szabványok Intézkedések és teendők 8

Az IBSZ alapján egy sor olyan intézkedést kell megvalósítani, ami biztosítja az információbiztonság gyakorlati megvalósulását. Ezek közül a fontosabbak a következők: I Előírt szabályzatok kidolgozása 1. Szervezeti és Működési Szabályzat (a továbbiakban: SZMSZ); 2. Titokvédelmi Szabályzat; 3. Ügyviteli eljárásrend; 4. Tűzvédelmi Szabályzat; 5. Etikai Szabályzat; II Felelősök kinevezése (IT biztonságért felelős vezető; IT biztonságért felelős rendszergazda; Vírusvédelmi felelős; Hálózat- és tűzfal biztonságért felelős.) III. Elkészítendő dokumentumok Katasztrófaterv Információs vagyonleltár (adatvagyon-tárgy neve, az adatkezelését támogató alkalmazás neve, az adatgazdai feladatkört betöltő munkakör megnevezése, az adat biztonsági besorolása) Nyilvántartás valamennyi olyan eszközről, amelyért az IT biztonságért felelős vezető felelősséggel tartozik. Az ilyen kritikus eszközök közé tartoznak a következők: hálózati aktív eszköz (különösen: router, switch, HUB, stb.); szerver (különösen: mail, file, web, stb.); külső kapcsolat egyéb komponense (modemek, RAS Remote Access Server); biztonsági komponensek (autentikációs rendszer, tűzfal); munkaállomás és hordozható számítógép. A hozzáférési jogosultságok meghatározása a jelszókezeléssel, a felhasználói azonosítókkal együtt. Ennek alapján biztonsági ellenőrző lista készítése a felhasználói jogokról: (a felhasználó fizikai neve, a felhasználói azonosító(k),a jogosultság áttekintés dátuma, az áttekintés során tapasztaltak szerint a ténylegesen beállított jogosultságok megfelelnek-e a jóváhagyott 9

jogosultságoknak; szükséges intézkedés: dokumentáció frissítése / jogosultságok módosítása, az intézkedés dátuma. Információs adatbázis kialakítása Az IT biztonsági események azonosítása, jelentése, rögzítése és megfelelő kezelése. Biztonsági eseménynek minősül minden vírusfertőzés; számítógépes betörési kísérlet (belső hálózati vagy külső pl. Internet); működési rendellenesség; eszköz elvesztése vagy megsemmisülése; adatlopás). A gépnaplóban rögzíteni kell a hálózat bármely hardver elemén történő javítást, karbantartást, eszközök értékesítését és selejtezését. Az IT helyiséget besorolásának megfelelően tűzvédelmi riasztó rendszerrel kell védeni. Valamennyi hordozható adathordozót biztonságos és arra alkalmas helyen, azonosíthatóan kell tárolni. Az érzékeny és fontos adatokról rendszeresen biztonsági mentéseket kell készíteni az IBSZ-ben meghatározott biztonsági szabályozás követelményei szerint. A mentési módszer sémája automatizált GFS (Grandfather-Father-Son) típusú. Esettanulmány: Jánoshalma szakrendelője A Jánoshalma Kistérség Egészségügyi Központ NP Kft. járóbeteg szakrendelője egyike a hazánkban uniós támogatással, zöldmezős beruházással létesített hiánypótló intézményeknek. Építészeti kialakítása, szakmai szervezete és informatikai rendszere példaértékű, melynek ismertetésére az előadásban röviden szó kerül. Speciális vonása, hogy a partnerként közreműködő háziorvosok, védőnők a házban vannak elhelyezve, ami on-line kapcsolat kiépítését tette lehetővé [J1]. Záró gondolatok Az egészségügyi intézmények, jelesül a járóbeteg-ellátók páciens-adatokkal kapcsolatos információbiztonsági aspektusai az IT rohamos fejlődése miatt eddig nem ismert problémákat és feladatokat generálnak, melyeket a szakma 10

művelői nem is realizálnak minden esetben [D2].Pedig fel kell vetni azt a megkerülhetetlen kérdést, hogy biztonságban vannak-e a betegadatok a világhálón? [B2]. A kérdés több esetben már az adatvédelmi biztoshoz is eljutott [A1]. A műszaki, jogi kérdések mellett etikai kérdések is felmerülnek, mivel az adatok gondozóinak vállára súlyos felelősség nehezedik [N1]. Ráadásul azzal kérdéssel is meg kell birkózni, hogy a biztonságra áldozott anyagiak arányban vannak-e az elérhető eredményekkel [K3]. Az információbiztonság kérdését mindenképpen halálosan komolyan kell venni. Irodalom [A1] Adatvédelmi Biztos: Állásfoglalások 2011 ABI-2982-3/210/K http://abiweb.obh.hu/abi/index.php?menu=aktualis/allasfoglalasok/2011&dok=2 982_K_2010-3 [B1] Baross Szabolcs: Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához. IME II. évfolyam 6. szám, 2003. szeptember, p. 42-46 [B2] Baross Szabolcs, Balog Géza: Biztonságban vannak a betegadatok az informatikai rendszerekben és a világhálón? IME III. évfolyam 8. szám, 2004. november, p. 40-45. [C1] Carisma: Informatikai kockázatok kordában tartása COBIT-tal. http://www.carisme.hu/cikkek/itkockcobit [D1] Dévényi Dömötör: Infokommunikációs és globális technológiák az egészségügyi informatikában. IME I. évfolyam 1. szám 2002. június, p.33-37 [D2] Dénes Tamás: Információbiztonság kontra polgári szabadságjogok http://www.pointernet.pds.hu/ujsagok/evilag/2004-ev/ [E1] Egészségügyi Minisztérium: Magyar Egészségügyi Ellátási Standardok MEES kézikönyv V.01 (2007) Egészségügyi közlöny LVII. évfolyam 4. szám p.705-826 [F1] Fazekas Tibor: Az információ biztonság követelményrendszere. IME II. évfolyam 6. szám, 2003. szeptember, p. 39-41 [G1] Dr. Gődény Sándor szerk.: A klinikai hatékonyság fejlesztése az egészségügyben. Pro Die Kiadó, 2007. [H1] Dr. Haig Zsolt: Az információbiztonság szabályozói és szervezeti keretei. 11

http://hadmernok.hu/kulonszamok/robothadviseles7/haig_rw7.pdf [H2] Dr. Hajnal Miklós Pál: Integrált minőségirányítási rendszerek kialakításának tapasztalatai egészségügyi szervezetekben. Magyar Minőség XIII. évfolyam 2. szám, 2004. február, p. 15-23. [H3] Dr. Hajnal Miklós Pál: Út a betegellátás biztonságához. Integrált minőségirányítási rendszer. Kórház XI. évfolyam 2004. október, p. 44-45. [H4] Dr. Hajnal Miklós Pál: Minőségközpontú menedzsment az egészségügyi és szociális intézményekben. Szociális Menedzser 7, évfolyam, 6/2005. szám p. 56-61. [H5] Dr. Hajnal Miklós Pál: Integrált irányítási rendszerek és modellek alkalmazási lehetőségei és buktatói az egészségügyben. IME Információ Menedzsment az Egészségügyben IV. évfolyam 9. szám 2005. december, p. 30-36. [H6] Dr. Hajnal Miklós Pál: Minőségirányítás az egészségügyben. Róth András (szerkesztő, lektor: Varga Lajos): ISO 9000:2000 minőségügyi rendszer. Aktuális tanácsadó minőségirányítási szakembereknek. 12.7. fejezet. VERLAG DASHÖFER Szakkiadó Kft. és T. Bt. Budapest, 2004 [I1] ISO/IEC 27000:2009. Information technology Security techniques Information security management systems Overview and vocabulary [I2] ISO/IEC 27002:2005. Information technology Security techniques Code of practice for information security management [I3] ISO/IEC 27003:2010. Information technology Security techniques Information security management system implementation guidance [I4] ISO/IEC 27004:2009. Information technology Security techniques Information security management systems Measurement [I5] ISO/IEC 27005:2008. Information technology Security techniques Information security risk management [I6] ISO/IEC 27006:2007. Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems [I7] ITB: Az informatikai biztonság fogalma, tartalma és határai. http://www.itb.hu/ajanlasok/a12html/a12_1.htm [J1] Jánoshalma Kistérségi Egészségügyi Központ: Információbiztonsági Szabályzat, 2011. [K1] Ködmön József, Takács Péter: Hálózatbiztonsági technikák az egészségügyben. Informatika a felsőoktatásban 96 Networkshop (Debrecen) kiadványa, p. 1126-1132 12

[K2] Dr. Ködmön István: Az információ- és adatvédelem nemzetközi trendjei a XXI. század elején. Magyar Minőség XVII. évfolyam, 2. sz. 2008. február, p. 50-56. [K3] Dr. Kürti Sándor: Az információgazda(g)ság buktatói, avagy még mennyit áldozzunk a biztonság oltárán. IME I. évfolyam 3. szám, 2002. október, p. 40-43 [K4] Kormány: A NFM megkezdte a hálózat- és információbiztonsági törvény előkészítését. http://www.kormany.hu/hu/nemzeti-fejlesztesiminiszterium/hirek/ [L1] Dr. Lukács György et al. szerk.: Információ biztonság. Cedit, Budapest, 1997. [M1] Magyar Szabványügyi Testület: Információvédelmi irányítási rendszerek (ISMS) MSZ ISO/IEC 27001:2006. http://www.mszt.hu/tanusitas/infosec.html [M2] Michelberger Pál, Lábodi Csaba: Információbiztonság az ellátási láncokban. MEB 2009-7th International Conference on Management, Enterprise and Benchmarking (Budapest) p. 273-290 [M3] MSZ EN ISO 9001:2009 Minőségirányítási rendszerek. Követelmények. Magyar szabvány [M4] MSZ ISO/IEC 27001:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények. Magyar szabvány. [N1] Dr. Naszlady Attila: Inform-etika a metakommunikációban. IME I. évfolyam 2. szám, 2002. szeptember, p.40-42 [N2] NAT: Nemzeti Akkreditálási rendszer. EA útmutató információbiztonságirányítási rendszerek tanúsításáűt/regisztrálását végző szervezetek akkreditálásához. NER-EA-7/03 [T1] Dr. Tóth Zoltán: Kórházak, egészségügyi intézmények információbiztonsága. http://infobiz.hu/korhazak-egeszsegugyi-intezmenyekinformaciobiztonsaga 13

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés