Pobierz prezentację
Download
Report
Transcript Pobierz prezentację
Ciągłość działania i bezpieczeństwo
informacji w ochronie zdrowia
dr hab. inż. Andrzej Białas
Instytut Technik Innowacyjnych EMAG
Ochrona zdrowia w inteligentnym mieście
KONFERENCJA ŚLĄSKIEGO KLASTRA ICT
Katowice, 25 listopada 2013
Plan prezentacji
problemy z ciągłością działania i ochroną informacji
w coraz bardziej zinformatyzowanej służbie zdrowia
metody i narzędzia ich rozwiązywania
przykłady zastosowań
podsumowanie
Z cyklu media donoszą:
Awaria systemu eWUŚ w całej Polsce. "Chaos w
przychodniach„ 1.08.2013, http://www.rmf24.pl/goraca-linia/wasze-fakty/news-awariasystemu-ewus-w-calej-polsce-chaos-w-przychodniach,nId,1005254#
Ewakuacja noworodków w szpitalu w Szczecinie. Awaria
zasilania 3.03.2013, http://www.tvn24.pl/wiadomosci-z-kraju,3/ewakuacja-noworodkow-wszpitalu-w-szczecinie-awaria-zasilania,309678.html
Chełm: Awaria respiratora w szpitalu. Zmarł pacjent
4.09.2013, http://chelm.naszemiasto.pl/artykul/1986842,chelm-awaria-respiratora-w-szpitaluzmarl-pacjent,id,t.html
Pechowa awaria sprzętu. Chorzy z zawałem są wiezieni
poza Częstochowę - Nowa lampa już jedzie z Niemiec.
8.10.2013,
http://czestochowa.gazeta.pl/czestochowa/1,48725,14745325,Pechowa_awaria_sprzetu__Chorzy
_z_zawalem_sa_wiezieni.html
Inne przykłady z życia
„Ujawniono dane osobowe” – w efekcie:
–
–
–
wizyta kontrolerów GIODO
kary z zakazem prowadzenia zbiorów włącznie
roszczenia sądowe pokrzywdzonych
„Ujawniono informacje dot. zamówień publicznych” – w efekcie:
–
–
–
pozwy sądowe
nadzwyczajna kontrola
sankcje i skargi
„Wyciekają wrażliwe informacje zarządcze lub finansowe” – w efekcie:
–
zarząd ma kłopoty prawne i wizerunkowe
„Lista płac (tak zwane paski), wydruki, nośniki danych w koszu na
śmieci”
–
problemy kadrowo-płacowe w firmie
„Informacje o infrastrukturze, jej wrażliwych punktach
i zabezpieczeniach zostają ujawnione”
–
podatność na ataki rośnie
Środek zaradczy – należy zarządzać
bezpieczeństwem informacji i ciągłością działania
systematyczne kontrolowanie czynników zakłócających
funkcjonowanie instytucji i naruszających jej zasoby
informacji
ograniczanie ich negatywnych skutków – zgodnie ze
światowymi standardami
optymalne alokowanie nakładów na ochronę
funkcjonowania instytucji i aktywów instytucji
zachowywanie zgodności instytucji w aspekcie prawnym
i technicznym – bowiem niezgodność kosztuje!
stosowanie najnowszych metod zarządzania opartych na
analizie ryzyka
Dodatkowe argumenty „za”
W obliczu problemu dostarcza zarządowi argumentów, że:
– „z należytą starannością zabezpieczał aktywa instytucji"
– „podjął wszystkie niezbędne działania zgodnie z zasadami sztuki i prawa”
– „działał z należytą starannością, bazując na najlepszych standardach i wzorcowych
praktykach z tej dziedziny”
Wdrożenie tego typu systemów, zwłaszcza poparte
certyfikatem:
– budzi zaufanie wśród klientów i partnerów biznesowych
– poprawia wizerunek i pozwala uzyskiwać przewagę konkurencyjną
Zapewnia zgodność wymaganiami Krajowych Ram
Interoperacyjności – dotyczy tylko „podmiotów
realizujących zadania publiczne”
(Rozp. RM z dn. 12 kwietnia 2012 w sprawie Krajowych Ram Operacyjności, Dz.U. poz.
527, 2012)
Jest metoda i są narzędzia
OSCAD – Otwarty Szkieletowy System Zarządzania
Ciągłością Działania (wynik projektu celowego
współfinansowanego przez NCBiR i Instytut EMAG)
Zadania podstawowe:
– zapewnienie ciągłości działania instytucji według BS 25999 (BCMS
– Business Continuity Management Systems); aktualnie ISO 22301
– zapewnienie bezpieczeństwa informacji w instytucji według ISO/IEC
27001 (ISMS – Information Security Management Systems)
OSCAD to rozwiązania organizacyjno-proceduralne,
wspomagane oprogramowaniem, bazujące na cyklu
Deminga PDCA (Planuj-Wykonaj-Sprawdzaj-Działaj)
OSCAD to wiedza, wzorce i metoda użycia tych wzorców
do zbudowania systemu dla instytucji
Budowa systemu OSCAD
Funkcjonalność systemu OSCAD
Procesy i przepływy informacji - przykład
Portal informacyjny (eMedica)
Serwis oprogramowania /sprzętu
PROCESY PODSTAWOWE – MEDYCZNE
Laboratorium
analityczne
Zlecenia
Ruch
chorych –
Oddział
szpitalny
Zakażenia
Grafik dyżurów
Szpitalna strona www
PROCESY POMOCNICZE
Blok
operacyjny
Ruch chorych
– Izba przyjęć
chronimy
procesy
Kalkulacja
kosztów leczenia
Gospodarka
magazynowa
Statystyka
medyczna
Koszty
Sąd,
prokuratura
Rozliczanie
umów z NFZ
Finanse,
księgowość
Apteka
Kadry
Płace
Elektroniczna
bankowość
ZUS, US
OSCAD oparty jest na analizie ryzyka
– analiza zorientowana na procesy
procesy biznesowe – jakie są, jakie są ich współzależności, jaka jest
ich krytyczność
co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe
działania człowieka (np.: utrata zasobów lub usług zewnętrznych, brak
rezerw, utrata personelu, awarie, wypadki, ataki terrorystyczne, siły
wyższe, błąd ludzki)
słabości systemu ochrony (podatności) wykorzystywane przez
zagrożenia (np. brak polityki bezpieczeństwa, słaba ochrona fizyczna,
nielojalny pracownik)
prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo
i straty)
proponowane zabezpieczenia – zarządzanie ryzykiem
Kategorie podstawowych zasobów
informacji wrażliwych
chronimy
zasoby
informacji
dane osobowe i medyczne pacjentów, którym udzielono
świadczeń zdrowotnych
dane osobowe pracowników i osób związanych umowami
cywilnymi z zakładem
rejestr prowadzonych spraw sądowych
księgi rachunkowe
sprawozdawczość z wykonania umów z NFZ
informacje o zabezpieczeniach
wyniki badań o charakterze naukowym
inne
OSCAD oparty jest na analizie ryzyka –
analiza zorientowana na zasoby informacji
zasoby informacji i infrastruktura IT – jakie grupy, jakiej postaci, gdzie
są one wytwarzane, przetwarzane, przesyłane i przechowywane
co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe
działania człowieka (np.: wyciek lub fałszowanie informacji, manipulacja
inteligentnymi urządzeniami medycznymi, ataki z wewnątrz i zewnątrz)
słabości systemu ochrony (podatności) wykorzystywane przez
zagrożenia (np.: słabe wyszkolenie, brak zasad, słaba kontrola
dostępu, brak ochrony kryptograficznej)
prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo
i straty)
proponowane zabezpieczenia – zarządzanie ryzykiem
Słownictwo
Procesy
Zasoby
Zarządzanie ryzykiem
Zarządzanie incydentem – korygowanie
Mierniki efektywności – doskonalenie
Wyzwanie: korzyści materialne i niematerialne,
które osiągnęli przodujący w dziedzinie
Obniżenie kosztów incydentów (24%)
Poprawa wydajności zasobów (21%)
Poprawa jakości informacji w instytucji (18%)
Kompatybilność systemów (16%)
Bogatsza baza informacji i wiedzy (14%)
Zmniejszenie kosztów zarządzania dokumentacją (7%)
Ochrona i zwiększenie wartości marki (31%)
Zwiększenie kontroli wewnętrznej (21%)
Wzrost wartości dla akcjonariuszy (16%) typowe korzyści materialne
i niematerialne jakie
Poprawa konkurencyjności (15%)
osiągnęły organizacje wdrażając
Spadek obciążenia infrastruktury IT (12%) podobny system - Entropy
Software™ (według badań BSI)
Większe korzyści z konsultacji (5%)
Nowe wyzwania
elektroniczna recepta, skierowanie, zlecenie,
elektroniczne rejestry dot. ratowników, medycznych,
podnoszenia kwalifikacji, itp.
rozwój telemedycyny,
rejestry i karty elektroniczne identyfikujące uprawnionych
do świadczeń, specjalistów medycznych
Dziękuję za uwagę
www.oscad.eu
[email protected]