Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym.

Podobne prezentacje


Prezentacja na temat: "Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym."— Zapis prezentacji:

1 Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym mieście KONFERENCJA ŚLĄSKIEGO KLASTRA ICT Katowice, 25 listopada 2013

2 Plan prezentacji problemy z ciągłością działania i ochroną informacji w coraz bardziej zinformatyzowanej służbie zdrowia metody i narzędzia ich rozwiązywania przykłady zastosowań podsumowanie

3 Z cyklu media donoszą: Awaria systemu eWUŚ w całej Polsce. "Chaos w przychodniach , systemu-ewus-w-calej-polsce-chaos-w-przychodniach,nId, # Ewakuacja noworodków w szpitalu w Szczecinie. Awaria zasilania , szpitalu-w-szczecinie-awaria-zasilania, html Chełm: Awaria respiratora w szpitalu. Zmarł pacjent , zmarl-pacjent,id,t.html Pechowa awaria sprzętu. Chorzy z zawałem są wiezieni poza Częstochowę - Nowa lampa już jedzie z Niemiec , _z_zawalem_sa_wiezieni.html

4 Inne przykłady z życia Ujawniono dane osobowe – w efekcie: –wizyta kontrolerów GIODO –kary z zakazem prowadzenia zbiorów włącznie –roszczenia sądowe pokrzywdzonych Ujawniono informacje dot. zamówień publicznych – w efekcie: –pozwy sądowe –nadzwyczajna kontrola –sankcje i skargi Wyciekają wrażliwe informacje zarządcze lub finansowe – w efekcie: –zarząd ma kłopoty prawne i wizerunkowe Lista płac (tak zwane paski), wydruki, nośniki danych w koszu na śmieci –problemy kadrowo-płacowe w firmie Informacje o infrastrukturze, jej wrażliwych punktach i zabezpieczeniach zostają ujawnione –podatność na ataki rośnie

5 Środek zaradczy – należy zarządzać bezpieczeństwem informacji i ciągłością działania systematyczne kontrolowanie czynników zakłócających funkcjonowanie instytucji i naruszających jej zasoby informacji ograniczanie ich negatywnych skutków – zgodnie ze światowymi standardami optymalne alokowanie nakładów na ochronę funkcjonowania instytucji i aktywów instytucji zachowywanie zgodności instytucji w aspekcie prawnym i technicznym – bowiem niezgodność kosztuje! stosowanie najnowszych metod zarządzania opartych na analizie ryzyka

6 Dodatkowe argumenty za W obliczu problemu dostarcza zarządowi argumentów, że: –z należytą starannością zabezpieczał aktywa instytucji" –podjął wszystkie niezbędne działania zgodnie z zasadami sztuki i prawa –działał z należytą starannością, bazując na najlepszych standardach i wzorcowych praktykach z tej dziedziny Wdrożenie tego typu systemów, zwłaszcza poparte certyfikatem: –budzi zaufanie wśród klientów i partnerów biznesowych –poprawia wizerunek i pozwala uzyskiwać przewagę konkurencyjną Zapewnia zgodność wymaganiami Krajowych Ram Interoperacyjności – dotyczy tylko podmiotów realizujących zadania publiczne (Rozp. RM z dn. 12 kwietnia 2012 w sprawie Krajowych Ram Operacyjności, Dz.U. poz. 527, 2012)

7 Jest metoda i są narzędzia OSCAD – Otwarty Szkieletowy System Zarządzania Ciągłością Działania (wynik projektu celowego współfinansowanego przez NCBiR i Instytut EMAG) Zadania podstawowe: –zapewnienie ciągłości działania instytucji według BS (BCMS – Business Continuity Management Systems); aktualnie ISO –zapewnienie bezpieczeństwa informacji w instytucji według ISO/IEC (ISMS – Information Security Management Systems) OSCAD to rozwiązania organizacyjno-proceduralne, wspomagane oprogramowaniem, bazujące na cyklu Deminga PDCA (Planuj-Wykonaj-Sprawdzaj-Działaj) OSCAD to wiedza, wzorce i metoda użycia tych wzorców do zbudowania systemu dla instytucji

8 Budowa systemu OSCAD

9 Funkcjonalność systemu OSCAD

10 Procesy i przepływy informacji - przykład Portal informacyjny (eMedica)Serwis oprogramowania /sprzętu Laboratorium analityczne Blok operacyjny Kadry Szpitalna strona www Ruch chorych – Izba przyjęć Grafik dyżurów PROCESY POMOCNICZE Ruch chorych – Oddział szpitalny ZleceniaZakażeniaApteka Kalkulacja kosztów leczenia Statystyka medyczna Gospodarka magazynowa Koszty Finanse, księgowość Elektroniczna bankowość Płace Rozliczanie umów z NFZ Sąd, prokuratura ZUS, US PROCESY PODSTAWOWE – MEDYCZNE chronimy procesy

11 OSCAD oparty jest na analizie ryzyka – analiza zorientowana na procesy procesy biznesowe – jakie są, jakie są ich współzależności, jaka jest ich krytyczność co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: utrata zasobów lub usług zewnętrznych, brak rezerw, utrata personelu, awarie, wypadki, ataki terrorystyczne, siły wyższe, błąd ludzki) słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np. brak polityki bezpieczeństwa, słaba ochrona fizyczna, nielojalny pracownik) prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) proponowane zabezpieczenia – zarządzanie ryzykiem

12 Kategorie podstawowych zasobów informacji wrażliwych dane osobowe i medyczne pacjentów, którym udzielono świadczeń zdrowotnych dane osobowe pracowników i osób związanych umowami cywilnymi z zakładem rejestr prowadzonych spraw sądowych księgi rachunkowe sprawozdawczość z wykonania umów z NFZ informacje o zabezpieczeniach wyniki badań o charakterze naukowym inne chronimy zasoby informacji

13 OSCAD oparty jest na analizie ryzyka – analiza zorientowana na zasoby informacji zasoby informacji i infrastruktura IT – jakie grupy, jakiej postaci, gdzie są one wytwarzane, przetwarzane, przesyłane i przechowywane co im zagraża – zagrożenia środowiskowe, przypadkowe i celowe działania człowieka (np.: wyciek lub fałszowanie informacji, manipulacja inteligentnymi urządzeniami medycznymi, ataki z wewnątrz i zewnątrz) słabości systemu ochrony (podatności) wykorzystywane przez zagrożenia (np.: słabe wyszkolenie, brak zasad, słaba kontrola dostępu, brak ochrony kryptograficznej) prognozowane incydenty (przypadki ryzyka – ich prawdopodobieństwo i straty) proponowane zabezpieczenia – zarządzanie ryzykiem

14 Słownictwo

15 Procesy

16 Zasoby

17 Zarządzanie ryzykiem

18 Zarządzanie incydentem – korygowanie

19 Mierniki efektywności – doskonalenie

20 Wyzwanie: korzyści materialne i niematerialne, które osiągnęli przodujący w dziedzinie Obniżenie kosztów incydentów (24%) Poprawa wydajności zasobów (21%) Poprawa jakości informacji w instytucji (18%) Kompatybilność systemów (16%) Bogatsza baza informacji i wiedzy (14%) Zmniejszenie kosztów zarządzania dokumentacją (7%) Ochrona i zwiększenie wartości marki (31%) Zwiększenie kontroli wewnętrznej (21%) Wzrost wartości dla akcjonariuszy (16%) Poprawa konkurencyjności (15%) Spadek obciążenia infrastruktury IT (12%) Większe korzyści z konsultacji (5%) typowe korzyści materialne i niematerialne jakie osiągnęły organizacje wdrażając podobny system - Entropy Software (według badań BSI)

21 Nowe wyzwania elektroniczna recepta, skierowanie, zlecenie, elektroniczne rejestry dot. ratowników, medycznych, podnoszenia kwalifikacji, itp. rozwój telemedycyny, rejestry i karty elektroniczne identyfikujące uprawnionych do świadczeń, specjalistów medycznych

22 Dziękuję za uwagę


Pobierz ppt "Ciągłość działania i bezpieczeństwo informacji w ochronie zdrowia dr hab. inż. Andrzej Białas Instytut Technik Innowacyjnych EMAG Ochrona zdrowia w inteligentnym."

Podobne prezentacje


Reklamy Google