SlideShare a Scribd company logo

Információbiztonság lépésről lépésre az egészségügyben

H
HZsolt
Business
1 of 17
Információbiztonság lépésről lépésre az egészségügyben © Fábián Zoltán – Dr. Horváth Zsolt, 2011.12.02.
Információbiztonság – miről is beszélünk? Milyen adatokat kell védeni? • betegek egészségügyi és személyes adatait • egészségügyi dolgozók, beszállítók, stb. adatait • gyógyszerek, vizsgálati eszközök és eljárások, stb. adatait • minőségirányítási dokumentációt és gyűjtött indikátorokat • kórházi gazdasági / finanszírozási / ügyviteli adatokat Kitől – mitől? • Adatszivárgástól – jogosulatlanok hozzáférése az adatokhoz • Adatok hibás felhasználásától – hibás információk a gyógyításban, menedzsmentben • „Nem az előírt célnak megfelelő” adatkezeléstől – adatok illetéktelen célú felhasználása (gyógyszercégek piaci versenyelőnyéhez) • Adatok rendelkezésre állásának hiányától – üzemszünet az informatikai rendszerben
Példák betegadatok fenyegetettségeire Adatszivárgás: • illetékteleneknek (szándékosan vagy véletlenül) kiadott betegadatok, majd azokkal való visszaélés Hibás felhasználás: • „elnézett, vagy elcserélt vizsgálati eredmények (vagy kórlapok) alapján döntés a kezelésről • gondatlanul rögzített adatok alapján készült betegdokumentáció • gondatlanul rögzített vagy szándékosan „kozmetikázott” adatok alapján készült finanszírozási adatszolgáltatás „Nem az előírt célú” felhasználás: • Szakdolgozatokban, tudományos munkákban nem megfelelően kezelt adatok közzététele Adatok rendelkezésre állásának hiánya: • Diagnosztikához, beavatkozáshoz, gyógyításhoz nem, vagy késve (vagy hibásan) állnak rendelkezésre a szükséges információk
Elvárások a biztonság fejlesztésére az egészségügyi intézmények oldaláról • Ne jelentsen nagy terhet a munkatársaknak (egyszerű és átlátható működés) • Ne legyen drága • Valóban növelje a biztonságot • Ne csak adatvédelmet, hanem információ-biztonságot jelentsen Együttműködés a Szent-Györgyi Albert Klinikai Központ és az INFOBIZ Kft között.
Az INFOBIZ Kft. megoldása egészségügyi intézmények (kórházak) számára Az INFOBIZ Kft. kialakított egy többlépcsős programot: • A komplett információbiztonsági irányítási rendszer kiépítése több, egymást követő és egymásra épülő önálló lépésben valósul meg. • Az egyes lépések önálló projektekként önállóan is végrehajthatók, azok beruházás igénye kisebb. • Lépésenként önálló, a biztonságot tovább javító eredményeket produkálnak - az eredményekhez viszonyított olcsó áron.
Együttműködés programja lépésről-lépésre  1. lépés: Önértékelő kérdőíves felmérés … és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására  2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés … és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására  3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése … és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére  4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe ( integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)
Az első lépés feladatai Célok:  a felső vezetésnek bemutatni az információbiztonság jelentőségét,  gyors és költséghatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni  főbb problémákra rámutatni Tevékenységek:  Képzés: Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés  Önértékelés: Egy széles körű, általános célú önértékelési kérdőív az információbiztonság és adatvédelem gyakorlati alkalmazási szintjének meghatározása, valamint egy az informatikai üzemeltetés körben  Kiértékelések, következtetések
A bevezető információbiztonsági témájú képzés Képzés célja: az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának jelentőségére a Klinika működési - és adatbiztonságára. A képzés főbb témái:  „Csapdás” esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban;  Az információbiztonság szerepe és jelentősége egészségügyi szolgáltató szervezetek működésében;  A kórházi információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai;  Az informatikai üzemeltetés, mint szolgáltatás megbízhatóságának kritériumai, mutatói.
Az önértékelés módszere Általános célú Informatikai célú Célja A teljes szervezetet átfogóan, Az informatikai rendszer felhasználói körben az adatvédelem fenyegetettségi és védelmi profiljának gyakorlatának és tudatosságának (előzetes) felmérése. (előzetes) felmérése. Módszere A teljes szervezetet átfogóan, Egy 8 – 10 oldalas kérdőív, az felhasználói körben az adatvédelem informatikai és informatikai biztonsági gyakorlatának és tudatosságának rendszer kulcselemei. (előzetes) felmérése. Résztvevők Minél szélesebb körben, minden Szervezet informatikai vezetése. köre betegellátó és adminisztratív egységből több dolgozó. Kiértékelés IT alapú statisztikai kiértékelés, majd Szakértői verbális kiértékelés a módja az eredmények alapján a kimutatható kulcselemekre adott válaszok és gyenge pontok. összefüggéseik alapján.
Az önértékelés témakörei Általános célú önértékelés témái: az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában o a papíralapú dokumentációk biztonságos / bizalmas kezelése, o az adatvédelmi szabályok és előírások megléte, ismerete és betartása, o az informatikai biztonsági szabályozások megléte, ismerete és betartása. Informatikai célú önértékelés témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány, működési környezet … o kereteinek, működésének jellemzése (fenyegetettségi profil) o üzemeltetése meglévő védelmi elemeinek jellemzése (védelmi profil)
Az önértékelés eredményei Az általános, 27 kérdést tartalmazó kérdőív kérdésenkénti összesített eredményei • Teljes intézményre vonatkoztatva • Vizsgált szervezeti egységekre (9 egység - klinika, labor, intézet)
Az önértékelés eredményei 100 95 90 85 80 75 70 65 60 55 50 A B C A - papíralapú dokumentumok biztonságos kezelése; B - Adatok védelme; C - Informatikai biztonsági szabályozások
Az önértékelés eredményei Az egyes témakörök értékelése külön-külön, vélhető erősségek és fejlesztendő területek kimutatásával •teljes intézményi szinten, illetve •szervezeti egységenként Papíralapú dokumentumok is külön-külön és egymáshoz viszonyítottan is. biztonságos kezelése 100 80 60 40 20 0 használhatóság hozzáférés másolat tárolás, archiválás
Az IT önértékelés eredményei Az intézményi Fenyegetettségek Védelmi profil informatikai 80 rendszer 70 60 • átfogó jellemzése, 50 • fenyegetettségi és 40 védelmi profilja, 30 • a biztonság 20 szempontjából az 10 erős és a 0 IT- AlkalmazásMűködtetés Humán fejlesztendő területei, Infrastruktúra • kiindulási alap és információ egy részletes informatikai / informatikai biztonsági felméréshez
Az eredmények haszna Belső intézkedési tervre javaslattétel, az információbiztonság állapotának javítására: •Belső biztonsági tudatosítási program elindítása, •Belső dokumentum-kezelés, iratkezelés gyakorlatának javítására •Az elektronikus betegadat-kezelés gyakorlatának javítására •Információbiztonsági rendszer kialakítása feltételeinek megteremtésére. Az IBIR bevezetés második lépésének előkészítése.
Tudatosítási program 1. lépés (?) Figyelmeztető táblák: NAGY ADATFORGALOM! ADJ ELSŐBBSÉGET A BIZTONSÁGNAK NYITOTT RENDSZER! VIGYÁZZ AZ INFORMÁCIÓRA! VIGYÁZAT! GYENGE ADATVÉDELEM! Computer Vigyázat! Adatszivárgás Vigyázat! lehetséges! A közelben idegenek előfordulása lehetséges
Köszönjük megtisztelő figyelmüket! Fábián Zoltán Dr. Horváth Zsolt fabian.zoltan@med.u-szeged.hu horvathzs@infobiz.hu http://www.klinikaikozpont.u-szeged.hu http://www.infobiz.hu

Recommended

Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenéseHZsolt
 
Infobiz isms alapok
Infobiz isms alapokInfobiz isms alapok
Infobiz isms alapokLogPortál Team
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanHZsolt
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályokHZsolt
 
BCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalBCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalHZsolt
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságban06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságbanHZsolt
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 

Recommended

Információbiztonság megjelenése
Információbiztonság megjelenéseInformációbiztonság megjelenése
Információbiztonság megjelenéseHZsolt
 
Infobiz isms alapok
Infobiz isms alapokInfobiz isms alapok
Infobiz isms alapokLogPortál Team
 
IT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanIT minőségbiztosítás a gyakorlatban
IT minőségbiztosítás a gyakorlatbanHZsolt
 
03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályok03 IT Biztonsági ökölszabályok
03 IT Biztonsági ökölszabályokHZsolt
 
BCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalBCM és Kockázatkezelés IT támogatással
BCM és Kockázatkezelés IT támogatássalHZsolt
 
05 ISMS alapok
05 ISMS alapok05 ISMS alapok
05 ISMS alapokHZsolt
 
06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságban06 Rendszerszemlélet az információbiztonságban
06 Rendszerszemlélet az információbiztonságbanHZsolt
 
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vAz integrált nyomonkövető rendszer bemutatása bp mk p_kz02v
Az integrált nyomonkövető rendszer bemutatása bp mk p_kz02vZoltán Kern
 
OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kzZoltán Kern
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseFerenc Kovács
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Zoltán Kern
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József
 
Lehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korábanLehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korábanCsaba KOLLAR (Dr. PhD.)
 
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólIT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólKatalin Horváth
 
IT biztonsági kisokos
IT biztonsági kisokosIT biztonsági kisokos
IT biztonsági kisokosUp2Universe
 
Isaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyIsaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyGergely Horvath
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatTamás Szőke
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiakitp
 
Adatbányászat
AdatbányászatAdatbányászat
AdatbányászatDaniel Takacs
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Luter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtéseLuter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtéseBlack Cell Ltd.
 
Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonságHZsolt
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 

More Related Content

Similar to Információbiztonság lépésről lépésre az egészségügyben

OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kzZoltán Kern
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseFerenc Kovács
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hezHZsolt
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Zoltán Kern
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanCsaba KOLLAR (Dr. PhD.)
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Csaba KOLLAR (Dr. PhD.)
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején Erzsébet Katona
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József
 
Lehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korábanLehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korábanCsaba KOLLAR (Dr. PhD.)
 
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólIT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólKatalin Horváth
 
IT biztonsági kisokos
IT biztonsági kisokosIT biztonsági kisokos
IT biztonsági kisokosUp2Universe
 
Isaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyIsaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyGergely Horvath
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatTamás Szőke
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiakitp
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Luter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtéseLuter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtéseBlack Cell Ltd.
 

Similar to Információbiztonság lépésről lépésre az egészségügyben (20)

OfI konferencia 20160127_kz
OfI konferencia 20160127_kzOfI konferencia 20160127_kz
OfI konferencia 20160127_kz
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztése
 
Gdpr integralasa ibir-hez
Gdpr integralasa ibir-hezGdpr integralasa ibir-hez
Gdpr integralasa ibir-hez
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok
 
Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908Az integrált nyomonkövető rendszer bemutatása 20140908
Az integrált nyomonkövető rendszer bemutatása 20140908
 
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korbanDr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
Dr. Kollár Csaba: Szervezeti információbiztonság a digitális korban
 
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
Dr. Kollár Csaba: Az információbiztonság-tudatosság fejlesztése a vezetők kö...
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)
 
Távmunka pandémia idején
Távmunka pandémia idején Távmunka pandémia idején
Távmunka pandémia idején
 
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
Ambrus Attila József: Néhány szó a személyi számítógépek és hálózatok biztons...
 
Lehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korábanLehetőségek és veszélyek a mesterséges intelligencia korában
Lehetőségek és veszélyek a mesterséges intelligencia korában
 
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontbólIT and data protection from legal aspect - IT és adatvédelem jogi szempontból
IT and data protection from legal aspect - IT és adatvédelem jogi szempontból
 
IT biztonsági kisokos
IT biztonsági kisokosIT biztonsági kisokos
IT biztonsági kisokos
 
Isaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergelyIsaca ivetar prezi 2009 horvath gergely
Isaca ivetar prezi 2009 horvath gergely
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_Szakdolgozat
 
Adatbanyaszati technologiak
Adatbanyaszati technologiakAdatbanyaszati technologiak
Adatbanyaszati technologiak
 
Adatbányászat
AdatbányászatAdatbányászat
Adatbányászat
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)
 
Luter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtéseLuter Tibor - Az incidens kezelés lehetőségének megteremtése
Luter Tibor - Az incidens kezelés lehetőségének megteremtése
 

More from HZsolt

Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonságHZsolt
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiHZsolt
 
23 nmk risk6-h-zs
23 nmk risk6-h-zs23 nmk risk6-h-zs
23 nmk risk6-h-zsHZsolt
 
Kockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiKockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiHZsolt
 
Integrált kockázatkezelés
Integrált kockázatkezelésIntegrált kockázatkezelés
Integrált kockázatkezelésHZsolt
 
ISO 9004 - kerekasztal
ISO 9004 - kerekasztalISO 9004 - kerekasztal
ISO 9004 - kerekasztalHZsolt
 
Kockázatértékelés kerekasztal
Kockázatértékelés kerekasztalKockázatértékelés kerekasztal
Kockázatértékelés kerekasztalHZsolt
 
ISO 9004 bemutatása
ISO 9004 bemutatásaISO 9004 bemutatása
ISO 9004 bemutatásaHZsolt
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképpHZsolt
 
ISO 9001 2008 követelményei
ISO 9001 2008 követelményeiISO 9001 2008 követelményei
ISO 9001 2008 követelményeiHZsolt
 
Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonságaHZsolt
 
Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőHZsolt
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
DokumentaciokezelesHZsolt
 
ISO9001 for software development
ISO9001 for software developmentISO9001 for software development
ISO9001 for software developmentHZsolt
 

More from HZsolt (15)

Autóipari információbiztonság
Autóipari információbiztonságAutóipari információbiztonság
Autóipari információbiztonság
 
Gdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalataiGdpr bevezetes tapasztalatai
Gdpr bevezetes tapasztalatai
 
23 nmk risk6-h-zs
23 nmk risk6-h-zs23 nmk risk6-h-zs
23 nmk risk6-h-zs
 
Kockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területeiKockázatkezelés alkalmazási területei
Kockázatkezelés alkalmazási területei
 
Integrált kockázatkezelés
Integrált kockázatkezelésIntegrált kockázatkezelés
Integrált kockázatkezelés
 
ISO 9004 - kerekasztal
ISO 9004 - kerekasztalISO 9004 - kerekasztal
ISO 9004 - kerekasztal
 
Kockázatértékelés kerekasztal
Kockázatértékelés kerekasztalKockázatértékelés kerekasztal
Kockázatértékelés kerekasztal
 
ISO 9004 bemutatása
ISO 9004 bemutatásaISO 9004 bemutatása
ISO 9004 bemutatása
 
ISO 9001 2008 másképp
ISO 9001 2008 másképpISO 9001 2008 másképp
ISO 9001 2008 másképp
 
ISO 9001 2008 követelményei
ISO 9001 2008 követelményeiISO 9001 2008 követelményei
ISO 9001 2008 követelményei
 
Távmunka biztonsága
Távmunka biztonságaTávmunka biztonsága
Távmunka biztonsága
 
Adatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezetőAdatvédelmi kontra információbiztonsági vezető
Adatvédelmi kontra információbiztonsági vezető
 
Dokumentaciokezeles
DokumentaciokezelesDokumentaciokezeles
Dokumentaciokezeles
 
ISO9001 for software development
ISO9001 for software developmentISO9001 for software development
ISO9001 for software development
 
CMMI
CMMICMMI
CMMI
 

Információbiztonság lépésről lépésre az egészségügyben

  • 1. Információbiztonság lépésről lépésre az egészségügyben © Fábián Zoltán – Dr. Horváth Zsolt, 2011.12.02.
  • 2. Információbiztonság – miről is beszélünk? Milyen adatokat kell védeni? • betegek egészségügyi és személyes adatait • egészségügyi dolgozók, beszállítók, stb. adatait • gyógyszerek, vizsgálati eszközök és eljárások, stb. adatait • minőségirányítási dokumentációt és gyűjtött indikátorokat • kórházi gazdasági / finanszírozási / ügyviteli adatokat Kitől – mitől? • Adatszivárgástól – jogosulatlanok hozzáférése az adatokhoz • Adatok hibás felhasználásától – hibás információk a gyógyításban, menedzsmentben • „Nem az előírt célnak megfelelő” adatkezeléstől – adatok illetéktelen célú felhasználása (gyógyszercégek piaci versenyelőnyéhez) • Adatok rendelkezésre állásának hiányától – üzemszünet az informatikai rendszerben
  • 3. Példák betegadatok fenyegetettségeire Adatszivárgás: • illetékteleneknek (szándékosan vagy véletlenül) kiadott betegadatok, majd azokkal való visszaélés Hibás felhasználás: • „elnézett, vagy elcserélt vizsgálati eredmények (vagy kórlapok) alapján döntés a kezelésről • gondatlanul rögzített adatok alapján készült betegdokumentáció • gondatlanul rögzített vagy szándékosan „kozmetikázott” adatok alapján készült finanszírozási adatszolgáltatás „Nem az előírt célú” felhasználás: • Szakdolgozatokban, tudományos munkákban nem megfelelően kezelt adatok közzététele Adatok rendelkezésre állásának hiánya: • Diagnosztikához, beavatkozáshoz, gyógyításhoz nem, vagy késve (vagy hibásan) állnak rendelkezésre a szükséges információk
  • 4. Elvárások a biztonság fejlesztésére az egészségügyi intézmények oldaláról • Ne jelentsen nagy terhet a munkatársaknak (egyszerű és átlátható működés) • Ne legyen drága • Valóban növelje a biztonságot • Ne csak adatvédelmet, hanem információ-biztonságot jelentsen Együttműködés a Szent-Györgyi Albert Klinikai Központ és az INFOBIZ Kft között.
  • 5. Az INFOBIZ Kft. megoldása egészségügyi intézmények (kórházak) számára Az INFOBIZ Kft. kialakított egy többlépcsős programot: • A komplett információbiztonsági irányítási rendszer kiépítése több, egymást követő és egymásra épülő önálló lépésben valósul meg. • Az egyes lépések önálló projektekként önállóan is végrehajthatók, azok beruházás igénye kisebb. • Lépésenként önálló, a biztonságot tovább javító eredményeket produkálnak - az eredményekhez viszonyított olcsó áron.
  • 6. Együttműködés programja lépésről-lépésre  1. lépés: Önértékelő kérdőíves felmérés … és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására  2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés … és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására  3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése … és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére  4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe ( integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)
  • 7. Az első lépés feladatai Célok:  a felső vezetésnek bemutatni az információbiztonság jelentőségét,  gyors és költséghatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni  főbb problémákra rámutatni Tevékenységek:  Képzés: Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés  Önértékelés: Egy széles körű, általános célú önértékelési kérdőív az információbiztonság és adatvédelem gyakorlati alkalmazási szintjének meghatározása, valamint egy az informatikai üzemeltetés körben  Kiértékelések, következtetések
  • 8. A bevezető információbiztonsági témájú képzés Képzés célja: az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának jelentőségére a Klinika működési - és adatbiztonságára. A képzés főbb témái:  „Csapdás” esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban;  Az információbiztonság szerepe és jelentősége egészségügyi szolgáltató szervezetek működésében;  A kórházi információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai;  Az informatikai üzemeltetés, mint szolgáltatás megbízhatóságának kritériumai, mutatói.
  • 9. Az önértékelés módszere Általános célú Informatikai célú Célja A teljes szervezetet átfogóan, Az informatikai rendszer felhasználói körben az adatvédelem fenyegetettségi és védelmi profiljának gyakorlatának és tudatosságának (előzetes) felmérése. (előzetes) felmérése. Módszere A teljes szervezetet átfogóan, Egy 8 – 10 oldalas kérdőív, az felhasználói körben az adatvédelem informatikai és informatikai biztonsági gyakorlatának és tudatosságának rendszer kulcselemei. (előzetes) felmérése. Résztvevők Minél szélesebb körben, minden Szervezet informatikai vezetése. köre betegellátó és adminisztratív egységből több dolgozó. Kiértékelés IT alapú statisztikai kiértékelés, majd Szakértői verbális kiértékelés a módja az eredmények alapján a kimutatható kulcselemekre adott válaszok és gyenge pontok. összefüggéseik alapján.
  • 10. Az önértékelés témakörei Általános célú önértékelés témái: az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában o a papíralapú dokumentációk biztonságos / bizalmas kezelése, o az adatvédelmi szabályok és előírások megléte, ismerete és betartása, o az informatikai biztonsági szabályozások megléte, ismerete és betartása. Informatikai célú önértékelés témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány, működési környezet … o kereteinek, működésének jellemzése (fenyegetettségi profil) o üzemeltetése meglévő védelmi elemeinek jellemzése (védelmi profil)
  • 11. Az önértékelés eredményei Az általános, 27 kérdést tartalmazó kérdőív kérdésenkénti összesített eredményei • Teljes intézményre vonatkoztatva • Vizsgált szervezeti egységekre (9 egység - klinika, labor, intézet)
  • 12. Az önértékelés eredményei 100 95 90 85 80 75 70 65 60 55 50 A B C A - papíralapú dokumentumok biztonságos kezelése; B - Adatok védelme; C - Informatikai biztonsági szabályozások
  • 13. Az önértékelés eredményei Az egyes témakörök értékelése külön-külön, vélhető erősségek és fejlesztendő területek kimutatásával •teljes intézményi szinten, illetve •szervezeti egységenként Papíralapú dokumentumok is külön-külön és egymáshoz viszonyítottan is. biztonságos kezelése 100 80 60 40 20 0 használhatóság hozzáférés másolat tárolás, archiválás
  • 14. Az IT önértékelés eredményei Az intézményi Fenyegetettségek Védelmi profil informatikai 80 rendszer 70 60 • átfogó jellemzése, 50 • fenyegetettségi és 40 védelmi profilja, 30 • a biztonság 20 szempontjából az 10 erős és a 0 IT- AlkalmazásMűködtetés Humán fejlesztendő területei, Infrastruktúra • kiindulási alap és információ egy részletes informatikai / informatikai biztonsági felméréshez
  • 15. Az eredmények haszna Belső intézkedési tervre javaslattétel, az információbiztonság állapotának javítására: •Belső biztonsági tudatosítási program elindítása, •Belső dokumentum-kezelés, iratkezelés gyakorlatának javítására •Az elektronikus betegadat-kezelés gyakorlatának javítására •Információbiztonsági rendszer kialakítása feltételeinek megteremtésére. Az IBIR bevezetés második lépésének előkészítése.
  • 16. Tudatosítási program 1. lépés (?) Figyelmeztető táblák: NAGY ADATFORGALOM! ADJ ELSŐBBSÉGET A BIZTONSÁGNAK NYITOTT RENDSZER! VIGYÁZZ AZ INFORMÁCIÓRA! VIGYÁZAT! GYENGE ADATVÉDELEM! Computer Vigyázat! Adatszivárgás Vigyázat! lehetséges! A közelben idegenek előfordulása lehetséges
  • 17. Köszönjük megtisztelő figyelmüket! Fábián Zoltán Dr. Horváth Zsolt fabian.zoltan@med.u-szeged.hu horvathzs@infobiz.hu http://www.klinikaikozpont.u-szeged.hu http://www.infobiz.hu