Információbiztonság fejlesztése önértékeléssel
© Fábián Zoltán – Dr. Horváth Zsolt, 2011
Kiindulás
SZTE SZAKK
információ
adatvédelmi szabályozás információ
napi gyakorlat
információ
Milyen az összhang? belső audit – adatvédelmi kérdések információ 2
Elvárások biztonság fejlesztésére
•Ne jelentsen nagy terhet a munkatársaknak (egyszerű és átlátható működés) •Ne legyen drága •Valóban növelje a biztonságot •Ne csak adatvédelmet, hanem információbiztonságot jelentsen
Együttműködés külső tanácsadó szervezettel
Klinikánként eltérő adatvédelmi szintek Kompetencia és kapacitás hiány Megfelelő partner keresése Többlépcsős együttműködés lehetősége
Együttműködés programja lépésrőllépésre
1. lépés: Önértékelő kérdőíves felmérés … és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására
2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés … és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására
3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése … és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére
4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe ( integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)
1. lépés feladatai Célok:
a felső vezetésnek bemutatni az információbiztonság jelentőségét, gyors és költséghatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni (Ez nem helyettesíti a későbbi részletes, helyszíni szakértői felmérések szükségességét.)
Főbb problémákra rámutatni
Tevékenységek:
Képzés: Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés Önértékelés: Egy széles körű, általános célú önértékelési kérdőív az információbiztonság és adatvédelem gyakorlati alkalmazási szintjének meghatározása, valamint egy informatikai üzemeltetés körben Kiértékelések, következtetések
A bevezető információbiztonsági témájú képzés Képzés célja: az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának jelentőségére a Klinika működési - és adatbiztonságára.
A képzés résztvevői:
Középvezetők (és felső vezetők) Adatvédelmi felelősök Informatikai üzemeltetés Minőségirányítás
A képzés főbb témái: „Csapdás” esetek, előre nem számított negatív események és ezek tapasztalatai a betegek
adatvédelmével kapcsolatban; Az információbiztonság szerepe és jelentősége egészségügyi szolgáltató szervezetek működésében; A kórházi információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai; Az informatikai üzemeltetés, mint szolgáltatás megbízhatóságának kritériumai, mutatói.
Az önértékelés módszere Általános célú
Célja
A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése.
Informatikai célú Az informatikai rendszer fenyegetettségi és védelmi profiljának (előzetes) felmérése.
Módszere
A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése.
Egy 8 – 10 oldalas kérdőív, az informatikai és informatikai biztonsági rendszer kulcselemei.
Résztvevők köre
Minél szélesebb körben, minden betegellátó és adminisztratív egységből több dolgozó.
Szervezet informatikai vezetése.
Kiértékelés módja
IT alapú statisztikai kiértékelés, majd az eredmények alapján a kimutatható gyenge pontok.
Szakértői verbális kiértékelés a kulcselemekre adott válaszok és összefüggéseik alapján.
Az önértékelés témakörei Általános célú önértékelés témái: o papíralapú dokumentációk biztonságos / bizalmas kezelése … o adatvédelmi szabályok és előírások megléte, ismerete és betartása… o informatikai biztonsági szabályozások megléte, ismerete és betartása… az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában. Informatikai célú önértékelés témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány, működési környezet … o kereteinek, működésének jellemzése (fenyegetettségi profil) o üzemeltetése meglévő védelmi elemeinek jellemzése (védelmi profil)
Eredmények
•Papíralapú betegdokumentáció-kezelés használhatósága •Papíralapú betegdokumentációhoz való hozzáférhetőség •Papíralapú betegdokumentáció másolatának biztonsága •Papíralapú betegdokumentáció tárolásának, archiválásának biztonsága •Adatvédelmi szabályozás létének ismerete •Tudatosság social engineeringgel szemben •Munkakörökhöz kapcsolódó különleges adatvédelmi követelmények •Informatikai biztonsági szabályzat •Jelszókezelés •Betegadatokhoz való informatikai hozzáférés •Betegadatok elektronikus tárolásának helye •IT eszközhasználat
Eredmények Papíralapú dokumentumok biztonságos kezelése 100 80 60 40 20 0 használhatóság hozzáférés
másolat
tárolás, archiválás
Informatikai biztonsági szabályozások
Adatok védelme 120 100
120
80
100
60
80
40
60
20
40
0
20 szabályzás
adatok bizalmas kezelése
soc.eng.
munkaköri
0 szabályzás
jelszó betegadatokhozadathely IT hozzáférés eszközhasználat
Eredmények Fenyegetettségek
Védelmi profil
80 70 60 50 40 30 20 10 0
ITAlkalmazás Működtetés Infrastruktúra
Humán
Humán csoport - eredmények
Információbiztonsági felelős és speciális szakrtelem hiánya Információbiztonság hiánya a menedzsment általi központi elvárásokból Biztonság rendszeres felülvizsgálatának hiánya Új alkalmazottak (személyi jellegű) biztonsági kockázatai vizsgálata Külső kapcsolatok biztonsági veszélyeinek kezelése hiánya Belső biztonsági tudatossági képzések hiánya Belső biztonsági szabályok felülvizsgálata
Köszönöm megtisztelő figyelmüket! Fábián Zoltán
Dr. Horváth Zsolt
[email protected] http://www.klinikaikozpont.u-szeged.hu
[email protected] http://www.infobiz.hu
