Információbiztonság a járóbetegellátásban

AdWareQ1

Információbiztonság a járóbetegellátásban

Dr. Hajnal Miklós Pál AdWareQ1 Fejlesztő és Tanácsadó Kft. DEMIN’2011 Debrecen, 2011. június 2-3. 1

AdWareQ1

Bevezetés  Az egészségügyben az adatok által hordozott információ nagy érték  Az adatkezelés feladatai:  Tárolás, hatékony elérés  Sértetlenség biztosítása  Titkosság garantálása

 Az infokommunikációs eszközök körének bővülése - új aspektusban  az orvosi titoktartás  a személyiségi jogok védelme Információbiztonság - Járóbeteg Dr. Hajnal Miklós AdWare Q1

2

Témakörök

AdWareQ1

 A járóbeteg-ellátás sajátosságai információ-biztonsági szempontból  Az információ-biztonság és a minőségirányítás kapcsolata  Az információbiztonság kockázatai  Az információbiztonság követelményei  ISMS megvalósítás járóbeteg-ellátónál  Esettanulmány Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

3

Néhány idézet

AdWareQ1

 Dr. Kürti Sándor: „Információink akkor kerülnek veszélybe, mikor megszületnek. A veszély végtelen nagyra nő, mikor a hálózatra csatlakozunk”  National Security Agency (NSA): „Istenben bízunk, másokat lehallgatunk”  Ismeretlen informatikus: „Akkor törnek be hozzád, ha érdekessé válsz” Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

4

A járóbeteg-ellátáshoz sorolhatóAdWare ellátási és szolgáltatási formák

Q1

A jóbeteg-ellátás formái:  Klasszikus önálló járóbeteg szakrendelés  Kórházhoz kapcsolódó szakambulancia  Egynapos sebészet  Nappali kórház  Egészségturizmus egyes területei (balneoterápia, fogturizmus, stb.) Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

5

A járóbeteg-ellátás információ-AdWare biztonsági sajátosságai 1.

Q1

 Ha az ellátó J0 kategóriájú mintavételi hely, a laborminták szállítása kockázati tényező  A primer információhordozó kockázata  Az ember a legkockázatosabb információ tároló és hordozó – csak etikai korlátok vannak  A „papír” tárolása és védelme problematikus, a kiadott dokumentumok (pl. leletek) sorsa nem követhető  Digitális eszközök: az információbiztonság többnyire csak ezzel foglalkozik Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

6

A járóbeteg-ellátás információbiztonsági sajátosságai 2.

AdWareQ1

 A szakorvosok többsége közreműködő, hatékonyságának fokozására mobil infokommunikációs eszközöket használ (notebook, pendrive, smart telefon, iPad, iPod, iPhone, stb.). Ezek:   

WiFi-n elérhetők, manipulálhatók (még WPA kriptográfia alkalmazása esetén is) Vírustámadások kedvelt célpontjai Illetéktelen kezekbe kerülhetnek

 A járóbeteg-ellátás helyzete a progresszív ellátásban: kórház  járóbeteg szolgáltató  háziorvos. Az adatmozgás gyakori módja mindkét irányban:  

„Papíron” E-mailen

történik. Mindkettő kockázatos. Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

7

Az információbiztonság és a minőségirányítás kapcsolata

AdWareQ1

Az ISO 9001 szabvány 6.3., 7.2., 7.5. fejezetei, a MEES BTA 7. standardjai megkövetelik a betegadatok védelmét Minőségirányítás Egyéb kapcsolatok: Minőségbiztosítás Védelemtudomány Védelemtudomány Jogtudomány, „Hagyomá Információvédelem -nyos Informatikai Informatikai etika biztonság” rendszer biztonság Megbízható működés Informatikai rendszer Jogtudomány, etika

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

8

AdWareQ1

Az információbiztonság kockázatai 1.

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

9

AdWareQ1

Az információbiztonság kockázatai 2.  Az információt hordozó adatok fajtái:  Páciens-adatok  Működési/üzemeltetési adatok

 Az előzőekben látott kockázatok következtében a páciensadat/információ 1. Elveszhet 2. Torzulhat 3. Illetéktelen kezekbe kerülhet Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

10

A kockázatok nyomán fellépő veszélyek

AdWareQ1

Páciens szempontjából

Szolgáltató szempontjából

1. Adatvesztés

Személyiségi jogokat sért, nincs közvetlen veszély

A pótlás pluszköltségekkel jár

2. Adat-torzulás

Ha észrevehető, korrigálható, de van biológiai veszélykomponense

Szakmai (műhiba!) vagy finanszírozási hiba veszélye adódhat

3. Illetéktelen kezekbe kerülés

Személyiségi jogi veszélyt jelenhet a páciensre nézve

Bizalomvesztés és presztizsveszteség az intézmény iránt

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

11

Az információbiztonság követelményei és keretei

AdWareQ1

 Jogi szabályozás (most készül az információbiztonsági törvény)  Műszaki követelmények: BS 77991,2:1995, majd ISO/IEC 17799:2000  Jelenleg: MSZ ISO/IEC 27001:2006, a sorozat most is folytatódik  Nemzetközi szervezetek (ENISA, CERT, CSIRT, FIRST, EGC, stb.)  Hazai szervezetek (PTA-CERT-Hungary, SZTAKI Hun-CERT, NIIF CSIRT, stb.) Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

12

ISMS megvalósítás járóbetegellátónál

AdWareQ1

Az ISMS (Iformation Safety Management System) kiépítése az MSZ ISO/IEC 27001:2006 szabvány alapján történik. Alapvető követelmények:  Az adatvagyon felmérése  A kockázatok felmérése, értékelése, kezelése, hatásaik minimalizálása  Informatikai Biztonsági Szabályzat készítése és bevezetése  Az ISMS működtetéséhez nélkülözhetetlen intézkedések megtétele  Naplózási és jelentési rendszer kialakítása Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

13

AdWareQ1

Az ISMS PDCA bázisú alapmodellje Tervezés Érdekelt felek Az ISMS bevezeté -se és működte -tése

A létrehozás, karbantartás és fejlesztés ciklusa

AZ ISMS fenntartá -sa és fejlesztése

AZ ISMS figyelemmel kísérése és átvizsgálása

Bevezetés

Végrehajtás

Követelmények és elvárások az információbizton -ságra

Érdekelt felek

Az ISMS kialakítása

Irányított informá -cióbiztonság

Ellenőrzés

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

14

Informatikai Biztonsági Szabályzat (IBSZ) 1. Az IBSZ célja és hatálya 2. Általános biztonsági irányelvek 3. IT biztonsági feladatok 4. Az információ értékelése 5. Hálózati külső kapcsolat 6. Az IT eszközök védelme 7. Eljárás IT esemény bekövetkezésekor 8. Fizikai és környezeti biztonság

AdWareQ1

9. Munkaállomás és hálózat menedzsment 10. Az IT rendszerekhez való logikai hozzáférés 11. E-mail szabályzat 12. Az internet használatának szabályozása 13. Kapcsolódó jogszabályok, szabványok

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

15

Az ISMS kialakítása

AdWareQ1

 Szabályzatok kidolgozása  Szervezeti és Működési Szabályzat

   

Titokvédelmi Szabályzat Ügyviteli Eljárásrend Tűzvédelmi Szabályzat Etikai Szabályzat

 Felelősök kijelölése    

IT biztonsági vezető Rendszergazda Vírusvédelmi felelős Hálózat- és tűzfal biztonsági felelős Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

16

Dokumentumok

AdWareQ1

 Katasztrófaterv  Információs vagyonleltár, melynek tételei:  Adatvagyon-tárgy neve

 Az adatkezelést támogató alkalmazás  Adatgazdai feladatkört betöltő munkakör  Az adat biztonsági besorolása

   

Nyilvántartás a kritikus eszközökről Hozzáférési jogosultságok meghatározása Információs adatbázis IT biztonsági események naplózása Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

17

Esettanulmány: JKEK

AdWareQ1

A Jánoshalma Kistérségi Egészségügyi Központ Nonprofit Kft. járóbeteg szakrendelője egyike az uniós támogatással, zöldmezős beruházással létesített hiánypótló intézményeknek.  Tulajdonosi önkormányzatok: Jánoshalma, Rém, Borota, Hajós, Kéleshalom, Mélykút  Szakorvosi járóbeteg szakrendelések száma: 15  Nem szakorvosi szakellátások és egyéb szolgáltatások száma: 5

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

18

A JKEK néhány jellemzője

AdWareQ1

 Az épület szakrendelő céljára épült  Az informatikai rendszer kialakítása a legkorszerűbb hálózatépítési elvek alapján történt  A HW-SW eszközök a kor színvonalán állnak  A partnerként közreműködő háziorvosok, védőnők, gyermekorvosok a házban nyertek elhelyezést, így kapcsolatuk on-line Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

19

Informatikai rendszer

AdWareQ1

 Hálózat – modem - tűzfal  3 központi switch, melyekre csillagtopológiában csatlakoznak:  Szerver, központi nyomtató, telefonközpont, kamerarendszer  PC-k, notebook-ok minden szakrendelés és egyéb szervezeti egység részére

 WiFi router, csatlakozó PC-k és notebookok  Tűzvédelmi rendszer Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

20

Az informatikai rendszer főbb funkciói

AdWareQ1

 Betegadatok rögzítése, archiválása, betegelőjegyzés, betegforgalom  A jelentési kötelezettségek teljesítése, teljesítmény-elszámolás (OEP, MEP, GYÓGYINFOK)  A klinikai, finanszírozási, controlling, számviteli, munkaügyi, gazdasági nyilvántartási és gazdálkodási informatikai rendszerek kiszolgáló alrendszerének működtetése  Biztonsági mentések, adatvédelmi szolgáltatások  Multimédiás szolgáltatások Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

21

Záró megjegyzések

AdWareQ1

 Az IT rohamos fejlődése új problémákat és feladatokat generál  Az egészségügyi szakma művelői nem mindig realizálják az ebből eredő kockázatokat  Kérdés: biztonságban vannak-e a betegadatok a világhálón?  Az információ-védelem jogi és etikai kérdés is  A biztonságért hozott áldozatokat össze kell mérni a várható előnyökkel  De: a beteg-adatok integritása nem lehet kérdéses Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

22

Köszönetnyilvánítás

AdWareQ1

 Köszönöm megtisztelő figyelmüket és várom kérdéseiket, hozzászólásukat  [email protected]  +36 20 962-1003

Információbiztonság - járóbeteg Dr. Hajnal Miklós AdWare Q1

23