Jak napisa* i wdro*y* Polityk* bezpiecze*stwa informacji

Download Report

Transcript Jak napisa* i wdro*y* Polityk* bezpiecze*stwa informacji 

Polityka bezpieczeństwa
informacji
w podmiocie leczniczym
Aspekty praktyczne
Prowadzący Piotr Glen
Specjalista ds. ochrony danych osobowych
Administrator Bezpieczeństwa Informacji
Administrator danych - to organ, jednostka
organizacyjna, podmiot lub osoba decydująca o celach
i środkach przetwarzania danych osobowych
Art. 7 ust. 4 Ustawy o ochronie danych osobowych
OBOWIĄZKI ADMINISTRATORA DANYCH
zgodnie z Ustawą o ochronie danych osobowych (Art. 36, 37, 38, 39)
oraz z Rozporządzeniem MSWiA w sprawie systemów informatycznych
służących do przetwarzania danych osobowych
1.
Zastosować środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, a w szczególności powinien zabezpieczyć dane
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez
osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą,
utratą, uszkodzeniem lub zniszczeniem.
2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych.
3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych.
5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały
do zbioru wprowadzone oraz komu są przekazywane.
6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania
7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych (GIODO).
ŹRÓDŁA PRAWA BEZPOŚREDNIO
ODNOSZĄCE SIĘ DO SŁUŻBY ZDROWIA
Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji
dotyczących jego osoby.


Ustawa o ochronie danych osobowych,

Ustawa o działalności leczniczej,

Ustawa o działalności ubezpieczeniowej,

Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta,


Rozporządzenie Ministra Zdrowia w sprawie szczegółowego zakresu i trybu
udzielania zakładom ubezpieczeń informacji o stanie zdrowia
ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa
ubezpieczenia oraz sposobu ustalania wysokości opłat za udzielenie tych
informacji.
Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu
dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobów jej
przetwarzania.
ROZPORZĄDZENIE MSWiA z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych
Dziennik Ustaw nr 100 z 2004 poz. 1024 zm
§ 3.
1. Na dokumentację składa się polityka bezpieczeństwa
i instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych, zwana
dalej „instrukcją”.
2. Dokumentację prowadzi się w formie pisemnej.
3. Dokumentację wdraża administrator danych.
Pojęcie „polityka bezpieczeństwa” to zestaw praw, reguł
i praktycznych doświadczeń regulujących sposób
zarządzania, ochrony i dystrybucji informacji wrażliwej
(danych osobowych, dokumentacji medycznej)
wewnątrz organizacji.
Polityka bezpieczeństwa powinna odnosić się
całościowo do problemu zabezpieczenia danych
osobowych u administratora danych tj. zarówno do
zabezpieczenia danych przetwarzanych tradycyjnie jak i
danych przetwarzanych w systemach informatycznych.
Celem polityki bezpieczeństwa, jest wskazanie
działań, jakie należy wykonać oraz ustanowienie zasad i
reguł postepowania, które należy stosować, aby
właściwie wykonać obowiązek odpowiedniej ochrony
danych.
Dokument polityki bezpieczeństwa powinien
deklarować zaangażowanie kierownictwa i
wyznaczać podejście instytucji do zarządzania
bezpieczeństwem informacji.
Jako minimum wskazuje się, aby dokument
określający politykę bezpieczeństwa zawierał:


definicję bezpieczeństwa informacji, jego
ogólne cele i zakres oraz znaczenie
bezpieczeństwa jako mechanizmu
umożliwiającego współużytkowanie
informacji;
oświadczenie o intencjach kierownictwa,
potwierdzające cele i zasady bezpieczeństwa
informacji;
Tzn.:

Postanowienia ogólne
„...Administrator Danych ma świadomość znaczenia przetwarzanych informacji
dla realizacji celów jednostki i potrzeby ochrony informacji, poprzez budowę
systemu zarządzania bezpieczeństwem informacji…”

-
-
-
Definicje
Administrator Danych
Administrator Bezpieczeństwa Informacji
Administrator Systemu Informatycznego
Użytkownik
Pomieszczenia
Poufność danych
Integralność danych i systemu
informatycznego
-
itp..

-
-
-
-
-
krótkie wyjaśnienie zasad, standardów i
wymagań zgodności mających szczególne
znaczenie np.:
zgodność z prawem (w oparciu o jakie
przesłanki przetwarzamy dane osobowe);
wymagania dotyczące kształcenia w dziedzinie
bezpieczeństwa (szkolenia dla użytkowników);
zapobieganie i wykrywanie wirusów oraz innego
złośliwego oprogramowania (obowiązki ABI i
ASI);
zarzadzanie ciągłością działania biznesowego
(kopie bezpieczeństwa, aktualizacje, ochrona
zasobów krytycznych);
konsekwencje naruszenia polityki
bezpieczeństwa (odpowiedzialność
dyscyplinarna, finansowa, karna).
definicje ogólnych i szczególnych
obowiązków w odniesieniu do
zarzadzania bezpieczeństwem
informacji, w tym zgłaszania przypadków
naruszenia bezpieczeństwa
- procedury i wzory zgłoszeń, opis
postępowania użytkowników i ABI;
 odsyłacze do dokumentacji mogącej
uzupełniać politykę, np. bardziej
szczegółowych polityk bezpieczeństwa i
procedur dla poszczególnych systemów
informatycznych lub zasad
bezpieczeństwa, których użytkownicy
powinni przestrzegać, a także do
Instrukcji zarządzania systemem
informatycznym;

Polityka musi identyfikować zasoby jakie
chronimy, w jaki sposób i gdzie.
polityka bezpieczeństwa powinna zawierać
w szczególności:
- wykaz budynków, pomieszczeń lub
części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane
osobowe (obszar przetwarzania danych);
- wykaz zbiorów danych osobowych wraz
ze wskazaniem programów
zastosowanych do przetwarzania tych
danych;
NAZWA
ZBIORU
PODSTAWA
PRAWNA
CEL
KATEGORIA
OSÓB
NR KSIĘGI
REJESTROWEJ
DATA
REJESTRACJI
PACJENCI
Ustawa
o zakładach
opieki
zdrowotnej
udzielanie
świadczeń
zdrowotnych
Pacjenci
Zwolniony wg
Art. 43. ust.1
pkt 5 ustawy o
ochronie danych
osobowych
PRACOWNICY
Ustawa
o zakładach
opieki
zdrowotnej
Dopełnienie
obowiązków
określonych w
przepisach prawa
pracownicy
zakładu opieki
zdrowotnej
Zwolniony wg
Art. 43. ust.1
pkt 4 ustawy o
ochronie danych
osobowych
REJESTR
KORESPONDEN
CJI
Kodeks
postępowania
administracyjneg
o
Rejestr
korespondencji
przychodzącej i
wychodzącej
Nadawcy i
odbiorcy
korespondencji
ARCHIWUM
Ustawa o
narodowym
zasobie
archiwalnym i
archiwach
Dopełnienie
obowiązków
określonych w
przepisach prawa
Osoby, których
dotyczą
materiały
archiwalne
OSOBY
UPOWAŻNIONE
DO ODBIORU
WYNIKÓW
BADAŃ
Zgoda osoby,
której dane
dotyczą
Wydanie wyniku
badania osobie
upoważnionej
osoby
upoważnione do
odbioru
wyników badań
PROGRAM
KOMPUTEROWY
ZASTOSOWANY
DO
PRZETWARZANI
A DANYCH
W ZBIORZE

-
-
-
-
określenie środków technicznych i
organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przy
przetwarzaniu danych, a tj.:
Gospodarka kluczami do pomieszczeń;
Systemy alarmowe, monitoringu, kontroli
dostępu, ochrony zewnętrznej;
Sposób przechowywania dokumentów w
formie papierowej;
Sposób przechowywania kopii zapasowych;
Sposób niszczenia danych po ustaniu ich
przydatności
Zabezpieczenia ppoż. i przeciwwłamaniowe
Sposoby zabezpieczenia komputerów i innych
urządzeń przenośnych;
-
-
-
-
-
-
-
Zabezpieczenia przed skutkami awarii
zasilania;
Proces uwierzytelnienia dostępu do systemu;
Konfiguracja i częstotliwość zmiany haseł
dostępu;
Środki bezpieczeństwa przy korzystaniu z
Internetu i poczty elektronicznej;
Środki ochrony przed złośliwym
oprogramowaniem;
Sposoby ustawienia monitorów, wygaszacze
ekranów
Szkolenia użytkowników;
Deklaracja zachowania tajemnicy;
Upoważnienia do przetwarzania danych i
Ewidencja osób upoważnionych.
Odpady medyczne i dokumenty na śmietniku
2011-03-16
Odpady medyczne i dokumentację lekarską znaleziono
w poniedziałkowy późny wieczór w kontenerach na
śmieci na osiedlu Batorego. Sprawę bada policja, bo w
grę wchodzi wyciek danych osobowych.
Odpady medyczne i dokumenty znaleźli strażnicy miejscy w
Poznaniu.
- Przed godziną 21 strażnicy zostali poinformowani przez
mieszkańców, że w pojemnikach na makulaturę znajdują się
odpady medyczne, a także dokumenty zawierające dane
osobowe –
- Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy
faktycznie znaleźli dokumentację medyczną z nazwiskami
pacjentów, ich adresami i wynikami badań oraz zakrwawione
waciki, rękawiczki lateksowe, strzykawki itp. O sprawie
powiadomiono policję, bo złamanie ustawy o ochronie danych
osobowych jest przestępstwem.
Wyłudzenia na podstawie danych osobowych
skradzionych ze szpitala
Wyniesione z jednej ze szczecińskich klinik dane osobowe 11
pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę
49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych
pacjentów uniemożliwiła interwencja policji.
Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina,
które zaangażowały się w fałszerstwa i wyłudzenia, skierowano
do Sądu Rejonowego w Szczecinie.
Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną
firmę, były pracownik kliniki, który wyniósł z niej dane osobowe
pacjentów zarejestrowane w szpitalnym komputerze, a także
pośrednicy składający wnioski kredytowe i odbierający pieniądze.
Posługując się danymi personalnymi pacjentów szczecińskiej
kliniki oskarżeni w październiku i listopadzie ubiegłego roku
składali w jednym z miejscowych banków wnioski kredytowe na
kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli
pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
DIS/DEC – 1207/44995/09
dot. DIS-K-421/130/09
DECYZJA
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego w związku z art. 36 ust. 1
i ust. 2, art. 37, art. 39 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), § 4 i § 5 rozporządzenia
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych
osobowych przez Regionalny Szpital Specjalistyczny im. (…) w (…), z siedzibą w (…),
I. Nakazuję Regionalnemu Szpitalowi Specjalistycznemu (…), przywrócenie stanu zgodnego z prawem w procesie przetwarzania
danych osobowych, poprzez:
1. Zabezpieczenie dokumentacji zawierającej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazwą „Księgowość
Zarządzająca” i pomieszczeniu
opisanym nazwą „Druki”, przed jej udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym
niniejsza decyzja stanie się ostateczna,
2. Opracowanie procedury określającej sposób zabezpieczenia pomieszczeń i sposób postępowania z kluczami do pomieszczeń oraz
prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń - w terminie 14 dni od dnia, w którym niniejsza decyzja
stanie się ostateczna
3. Uzupełnienie polityki bezpieczeństwa, prowadzonej w formie dokumentu o nazwie „Polityka bezpieczeństwa systemów
informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym (…)”, o wykaz
budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - w terminie 14 dni
od dnia, w którym niniejsza decyzja stanie się ostateczna;
4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upoważnień do przetwarzania danych osobowych – od
dnia, w którym niniejsza decyzja stanie się ostateczna.
5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym (…), ewidencji osób upoważnionych do przetwarzania danych osobowych
- od dnia, w którym niniejsza decyzja stanie się ostateczna.
Rodzaje kontroli GIODO
Za nieprzestrzeganie przepisów ochrony danych osobowych
grozi:

ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA

ODPOWIEDZIALNOŚĆ DYSCYPLINARNA

ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA

ODPOWIEDZIALNOŚĆ KARNA

ODPOWIEDZIALNOŚĆ FINANSOWA
KTO POWINIEN PISAĆ POLITYKĘ I INSTRUKCJĘ
ORAZ NADZOROWAĆ ICH PRZESTRZEGANIE ?
-
-
-
-
ABI i ASI (Informatyk)
ABI – osoba ciesząca się zaufaniem
Dyrektora i jednocześnie autorytetem
u pracowników (kadry, sekretariat,
administracja, marketing itp.)
ASI – informatyk na etacie, kierownik IT,
firma zewnętrzna;
Możliwość korzystania z usług firm
zewnętrznych – odpowiednia umowa
powierzenia, imienne wskazanie osób.
SCHEMAT ORGANIZACYJNY
OCHRONY DANYCH OSOBOWYCH
ADMINISTRATOR
DANYCH
DYREKTOR
ABI
Administrator Bezpieczeństwa
Informacji
ASI
Administrator Systemu informatycznego
INFORMATYK
UŻYTKOWNICY
DZIĘKUJĘ
ZA
UWAGĘ
Piotr Glen
www.wiknet.net.pl
[email protected]