Safety politics in IT
-
Upload
independent -
Category
Documents
-
view
0 -
download
0
Transcript of Safety politics in IT
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
SEMINARSKA NALOGA
VARNOSTNE POLITIKE V ZDRAVSTVU
Mentor: doc. dr. Dušan Caf
Študent: Peter Voglar
Vpisna številka: 35120110
Študijski program: Magistrski študijski program Informatika v
sodobni družbi
POVZETEK
S sprejetjem politike varovanja informacij, se organizacija
zaveže k sprejetju in spoštovanju ukrepov in postopkov v
skladu z varnostno občutljivostjo, poslovno vrednostjo in
kritičnostjo informacij ne glede na obliko, v kateri se
informacije pojavljajo. S povečevanjem odvisnosti poslovanja
od informacijskih in komunikacijskih tehnologij se povečuje
ranljivost sistema za zunanje in notranje grožnje, ki se
dogajajo vse bolj pogosto in povzročajo vse večjo škodo.
Politika varovanja informacij s pomočjo varnostnih kontrol
postavlja celovit okvir zagotavljanja varovanja informacij na
področju eZdravja in veljavne zakonodaje.
KLJUČNE BESEDE:
varnost, informacija, eZdravje, ranljivost, zaupnost, Politikavarovanja informacij
KAZALO
1 UVOD......................................................1
2 VARNOSTNE POLITIKE V ZDRAVSTVU............................2
2.1 Krovna politika varovanja informacij...................2
2.1.1 Obseg politike varovanja informacij.................3
2.1.2 Splošne odgovornosti za področja varovanja informacij
3
2.1.3 Sankcije............................................4
3 DOKUMENTI VARNOSTNIH POLITIK..............................4
3.1 Politika fizične zaščite in fizičnega dostopa..........5
3.2 Politika izdelave in hrambe arhivskih kopij............5
3.3 Politika nadzora dostopa do aplikacij, informacij in
sistemov....................................................6
3.4 Politika nadzora dostopa do omrežja....................6
3.5 Politika nadzora sprememb informacijskega sistema......6
3.6 Politika razvoja, spreminjanja in vzdrževanja programske
opreme......................................................7
3.7 Politika revizijskih sledi.............................8
3.8 Politika upravljanja in varovanja gesel................8
3.9 Politika upravljanja kakovosti storitev tretjih strank. 8
3.10 Politika varnostnega kopiranja podatkov...............9
3.11 Politika zagotavljanja kakovosti infrastrukture.......9
3.12 Politika zaščite pred zlonamerno programsko opremo...10
3.13 Politika varovanja v zvezi z osebjem.................10
3.14 Politika o navodilih za klasifikacijo označevanja in
ravnanja z informacijami...................................10
3.15 Politika oddaljenega dostopa.........................11
4 IZVAJANJE VARNOSTNE POLITIKE.............................11
5 ZAKLJUČEK................................................12
6 VIRI.....................................................13
KAZALO SLIK
Slika 1: Model varnostnih politik............................2
Slika 2: Varnostne politike..................................4
1 UVODPovod in potreba za pripravo in sprejetje varnostnih politik v
zdravstvu je prav gotovo projekt eZdravja pod okriljem
Ministrstva za zdravje. Glavna vizija projekta eZdravje je
vzpostavitev sodobnega zdravstvenega sistema, ki bo zajemal
pravičen dostop do zdravstvenih pravic, k posamezniku usmerjen
zdravstven sistem, učinkovito porabo sredstev, večjo vlogo
posameznika pri regulaciji in nadzoru, zagotavljanje visoke
stopnje enakosti dostopa posameznikov do dobrin zdravstvenega
varstva, dostop do podatkov iz katerekoli točke zdravstvenega
sistema, poenostavitve postopkov informacijskih povezav z
zunanjimi izvajalci, itd..
Na prvi pogled je vizija eZdravja nekaj, kar so si tako
uporabniki, izvajalci in zunanji sodelavci že dolgo želeli.
Vendar se je z odprtjem (preobrazbo) sistema lokalnih,
»papirnato« usmerjenih manjših izvajalcev zdravstvenih
storitev, prelevilo v enoten, moderen elektronski zdravstveni
sistem, ki omogoča dostopnost do informacij kjerkoli v
Sloveniji. Z odprtostjo informacijskih sistemov, so se
pojavila vprašanja glede obvladovanja sistema, kdo ga
upravlja, kdo lahko do njega dostopa in kako zagotoviti
varnost informacij, ki so večinoma osebne in zaupne narave.
V ta namen si je kot glavni cilj varovanja informacij
Ministrstvo za zdravje (MZ) navedlo stalno izboljševanje
kakovosti varnega upravljanja z informacijami ter
preprečevanje oziroma zmanjšanje posledic varnostnih
1
incidentov na najmanjšo možno mero. Namen politike varovanja
informacij je določiti pomembnost informacij za ustrezno
delovanje storitev izvajalcev zdravstvene dejavnosti na
področju eZdravja in jih ustrezno zaščititi v smislu
zagotavljanja (Ozimek in Žele, 2010:6):
zaupnosti (dostopnost informacij pooblaščenim osebam),
celovitosti (zagotavljanje popolnih informacij) in
razpoložljivosti (dostop »pravih« informacij
»pravim«osebam).
Pri snovanju politike varovanja informacij in s tem povezana
navodila in postopki varovanja informacij, so bili razviti in
usklajeni z zahtevami veljavne zakonodaje in priporočil
standardov informacijske varnosti serije ISO/IEC 27001 in
ISO/IEC 27002.
2 VARNOSTNE POLITIKE V ZDRAVSTVUVarnostne politike v zdravstvu predstavljajo temelj in
usmeritve izvajalcem zdravstvene dejavnosti, kako pristopiti
celovitem reševanju problematike tako varovanja osebnih
podatkov, kot varovanje celotnega informacijskega sistema.
Celovitost varnostne politike v zdravstvu (glej sliko1) se
sestoji iz Krovne politike varovanja informacij, dokumentov
področnih varnostnih politik in izvedbenih navodil.
2
Slika 1: Model varnostnih politik
Vir: Žele M. (2010a: 2)
2.1 Krovna politika varovanja informacijS sprejetjem politike varovanja informacij, vodstvo pokaže
svojo odgovornost in zavezanost k zagotavljanju varnosti
informacijskega celotnega informacijskega sistema. Zaposleni,
pogodbeni sodelavci, izvajalci zdravstvene dejavnosti, kot vsi
ostali uporabniki informacij na področju eZdravja pa morajo
potrditi svojo odgovornost glede izvajanja politik varovanja
informacij.
Prav s sprejetjem določil veljavne zakonodaje, ter priporočil
standardov informacijske varnosti, je MZ vzpostavilo Sistem za
upravljanje varovanja informacij (SUVI), ki zagotavlja
vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje,
vzdrževanje in izboljšanje varovanja informacij.
3
2.1.1 Obseg politike varovanja informacij
SUVI obsega celoten informacijski sistem izvajalca zdravstvene
dejavnosti in sicer (Ozimek in Žele, 2010: 7):
Politiko varovanja informacij: dokument o politiki
varovanja, pregleda in upravljanja informacij.
Organiziranost varovanja: varovanje informacij pri
izvajalcih zdravstvene dejavnosti in dostopa tretjih oseb
do informacij.
Upravljanje s sredstvi: opredelitev lastnikov
informacijskih sredstev.
Varovanje v zvezi z osebjem: sistem preverjanja na novo
zaposlenih, izjave zaupnosti, postopki pri prenehanju
delovnih razmerij, itd..
Fizično in okoljsko varovanje: fizična zaščita pred
nepooblaščenim dostopom, škodo in motnjami.
Upravljanje s komunikacijami in obratovanjem: vzpostavitev
postopkov in odgovornosti za obratovanje informacijskega
sistema (IS), programske opreme, itd..
Upravljanje dostopa do IS: nadzor dodeljevanja pravic
dostopa do IS in storitev.
Nabava, razvoj in vzdrževanje IS: opredelitev varnostnih
zahtev za posamezno operacijo.
Upravljanje z varnostnimi incidenti: poročanje o
incidentih, odgovornostih in postopkih.
Upravljanje neprekinjenega poslovanja: razvoj in
vzdrževanje načrtov za hitro vzpostavitev storitev.
Usklajenost: med zakonskimi zahtevami in politiko
varovanja informacij.
4
2.1.2 Splošne odgovornosti za področja varovanja informacij
Za preverjanje vzpostavitve sistema SUVI je zadolžen Center za
informatiko v zdravstvu (CIZ), ki spremlja in nadzira
učinkovitost varnostnih ukrepov in postopkov. Naloga CIZ je
določitev pooblaščenih oseb, ki morajo izvajati naslednje
naloge (Ozimek in Žele, 2010: 8):
priprave dokumentov politik varovanja informacij,
priprave navodil za ocene tveganj,
najmanj enkrat letno izvesti ocene tveganj,
najmanj enkrat letno pripraviti poročilo o oceni tveganj,
priprave načrta za obravnavo tveganj,
zagotavljanje ozaveščenosti izvajalcev zdravstvene
dejavnosti glede varovanja informacij,
seznanjanje izvajalcev o dolžnostih, ki jih zadevajo v
SUVI,
upravljanje varnostnih incidentov, varnostnih
pomanjkljivosti in
izvajanje varnostnih ukrepov za izboljšanje stanja
varovanja informacij.
Odgovornost varovanja po SUVI in CIZ prav tako nosijo vsi
izvajalci zdravstvene dejavnosti, ki se vključujejo v projekt
eZdravja. Pod izvajalce zdravstvene dejavnosti se štejejo vsi
zaposleni, kot pogodbeni delavci. Ne glede na položaj, je
dolžnost vseh prijaviti incidente in varnostne
pomanjkljivosti, v kolikor so bili zaznani.
5
2.1.3 Sankcije
V primeru neupoštevanja določil politike informacij ter
navodil in postopkov varovanja informacij se razume kot
kršitev dela izvajalcev zdravstvene dejavnosti, ki so
vključeni v eZdravje in se sankcionira z ukrepi, ki jih določi
Ministrstvo za zdravje.
3 DOKUMENTI VARNOSTNIH POLITIKSkupek področnih varnostnih politik temeljijo na standardih
ISO/IEC 27001 (glej sliko 2), ki predstavlja temeljno
usmeritev za vpeljavo varnostnih politik v organizacije
izvajalcev zdravstvenih storitev.
Slika 2: Varnostne politike
Vir: Ozimek M. (2010a: 13)
3.1 Politika fizične zaščite in fizičnega dostopaNamen politike fizične zaščite in fizičnega dostopa je
določiti pravila in postopke fizičnih dostopov do
6
informacijskega sistema. Stopnja varovanja posameznih
prostorov je odvisno od tega, kje se prostor nahaja in sicer
(Ozimek, 2010b: 5):
Območja javnega dostopa (čakalnice, hodniki, bolniške
sobe, sanitarije, itd): območje ni posebej varovano, zato
se na tem območju ne smejo hraniti osebni podatki.
Območje zdravstvenih pisarn: dovoljena hramba in obdelava
osebnih in občutljivih podatkov, zato mora biti dostop
urejen s kontrolo pristopa, oziroma s slepo kljuko ter
vsebovati tehnično varovanje.
Območje računalniškega IS (podatkovni center, nadzorna
soba, itd.): namenjeno hrambi in obdelavi občutljivih
osebnih podatkov, zato je potrebno tehnično varovanje in
kontrola pristopa.
Območje komunikacijskega sistema (komunikacijske omare,
vodi, optična hrbtenica, itd.): potrebno je preprečiti
prestrezanje in poškodbe komunikacij, prav tako območje
komunikacijskega dostopa ne sme biti del javnega dostopa.
Drugi del fizične zaščite se nanaša na zaposlenega. Politika
fizične zaščite varovanja podatkov, ki se nanaša na
zaposlenega zajema Politiko čiste mize (na mizah in ostalem
inventarju se ne sme puščati nosilcev podatkov z občutljivimi
informacijami), Politiko praznega zaslona (onemogočen vpogled
na računalniške zaslon), Politiko odstranjevanja podatkov
(postopek in pravila uničenja dokumentov) ter Politiko proti
zlorabi opreme računalniškega informacijskega sistema (vodenje
evidence računalniške opreme).
7
3.2 Politika izdelave in hrambe arhivskih kopijPolitika hrambe in izdelave arhivskih kopij govori o hrambi
zdravstvene dokumentacije. Izvajalec zdravstvene dejavnosti
mora hraniti vso dokumentacijo (fizične in elektronske
izvode), ki spremlja pacienta skozi proces zdravljenja. Čas in
način hranjenja zdravstvene evidence mora biti izveden skladno
s predpisi zakonodaje (Zakon o zbirkah podatkov s področja
zdravstvenega varstva in Zakona o varstvu osebnih podatkov).
»Za hrambo zdravstvene dokumentacije v elektronski obliki je
potrebno zagotoviti primerne postopke elektronske hrambe
(notranja pravila, zajem, pretvorba, pogoji pretvorbe in
elektronske hrambe, usklajenost s tehnološkimi standardi) ter
infrastrukturo (strojna in programska oprema, ponudniki opreme
in storitev, registracija, akreditacija, nadzor)« (Ozimek,
2010c: 6).
3.3 Politika nadzora dostopa do aplikacij, informacij
in sistemovPolitika nadzora določa pravila in postopke dodelitve pravic
za dostop do informacijskega sistema. Postopki morajo
omogočati nadzora nad dostopi do informacijskega sistema, ter
zmanjšani možnost nepooblaščenega dostopa, ki ima lahko za
posledico izgubo ali okvaro podatkov izvajalca zdravstvene
dejavnosti. Postopek za dodelitev pravic se prične že z
zaposlitvijo v kadrovski službi, ki zahtevek za dodelitev
dostopov posreduje odgovornim osebam – sistemskim
upravljalcem, glede na razporejeno delovno mesto. Podobno je z
ukinitvijo pravic v primeru zlorabe oziroma ob prekinitvi
8
delovnega razmerja. Naloga kadrovske službe je, da obvesti vse
pristojne upravljalce sistemov o prekinitvi delovnega razmerja
ali kakršni drugi spremembi statusa zaposlenih
(prerazporeditev, napredovanje, nazadovanje, itd.) (Ozimek,
2010d: 7-8).
3.4 Politika nadzora dostopa do omrežjaUporabniki običajno dostopajo do interneta preko zNet omrežja
ali drugega (rezervnega) ponudnika internetnih storitev. Pri
uporabi drugega ponudnika je potrebno zagotoviti nadzor
nedovoljenega prometa z ustrezno požarno pregrado in sistemom
za odkrivanje in preprečevanje vdorov. V kolikor se v
organizaciji uporablja brezžično omrežje, je potrebno
zagotoviti naslednje (Žele in Kobal, 2010a: 5):
Usmerjevalni vmesnik mora biti šifriran in ustrezno
skonfiguriran (uporaba protokolov WPA 2, nezmožnost
spletnega dostopa, sprememba tovarniških gesel, itd.).
Zagotoviti je potrebno prepoznavanje uporabnikov (standard
802.1x).
Zagotoviti nadzor in upravljanje nad dostopnimi točkami
(overitev dostopnih točk in fizična varnost).
Ločimo dva načina dostopov in sicer: administrativni dostopi
(prioritetni dostopi do mrežnih gradnikov in strežnikov) in
uporabniški dostopi (dostop do posameznih segmentov omrežja).
3.5 Politika nadzora sprememb informacijskega sistemaPolitika nadzora sprememb posebno pozornost namenja
specifikaciji za nakup opreme. Poleg funkcionalnosti in
zmogljivosti opreme, so vse pomembnejše varnostne zahteve iz
9
Politike razvoja, spreminjanja in vzdrževanja programske
opreme.
Iz varnostnih razlogov mora programska oprema in njeno
vključevanje v sistem ustrezati naslednjim zahtevam (Ozimek,
2010e: 6):
Vsa oprema mora ustrezati licenčnim predpisom (skrbniki
skrbijo za veljavnost licenc, namešča se izključno
licenčna oprema, namestitve izvajajo pooblaščene osebe).
Vse spremembe programske opreme morajo biti enolično
zavedene, zaradi sledljivosti med verzijami.
Spremembe IS se preverja z notranjimi revizorji, ki
ugotavljajo primernost nivoja informacijske varnosti.
Letno izvajanje varnosti informacijskega sistema (zasnova
IS, konfiguracija strežnikov in mrežnih naprav,
preverjanje požarnih pregrad, sistem zaznavanja vdorov,
itd.).
3.6 Politika razvoja, spreminjanja in vzdrževanja
programske opremeNamen politike razvoja in vzdrževanja programske opreme je
definirati naloge in odgovornosti sodelujočih, opredeliti
način nadzora nad dokumentacijo, ki jo je potrebno izdelati.
Razvoj programske opreme je sistematiziran po sistemu
projektne naloge, ki se izvaja po sledečih fazah (Žele in
Kobal, 2010b: 5):
Izdelava projektne naloge (postaviti cilje, zahteve,
obseg, omejitve in predpostavke).
10
Izbira izvajalca (po razpisni dokumentaciji se izbere
izvajalca po postopku trenutne veljavne zakonodaje).
Določitev organov podjetja (projektni svet, vodja
projekta, člane projektne skupine).
Izdelava vzpostavitvenega dokumenta projekta (predstavitev
projekta, vsebina projekta, organizacija projekta, načrt
razvoja).
Potrditev vzpostavitvenega dokumenta projekta (projektni
svet potrdi projekt).
Izdelava specifikacij (potrebne funkcionalnosti, varnostne
zahteve, načrt testiranja, itd.).
Izvedba razvoja programske opreme (spremljanje potek
razvoja skladno z načrtom).
Izdelava dokumentacije (navodila za namestitev,
testiranje, opis tehničnih zahtev, itd.).
Prevzem (vodja in projektni svet prevzameta programsko
opremo s podpisom primopredajnega zapisnika).
Uvajanje uporabnikov (uporabnika ali skrbnika se pripravi
za vzdrževanje in nadgrajevanje programske opreme).
3.7 Politika revizijskih slediPolitika revizijskih sledi govori o sledljivosti podatkov na
informacijskem sistemu (strežniki, omrežna oprema, baze
podatkov, itd.). Sledljivost mora biti zagotovljena za vse
osebne in občutljive osebne podatke, ki se delijo na tri
nivoje: prvi nivo (velja za osebne podatke in omogoča kasnejšo
ugotavljanje sprememb), drugi nivo (velja za osebne in
občutljive osebne podatke in njihovo kasnejše ugotavljanje
sprememb) in tretji nivo (gre za najvišji nivo, kjer se sledi
11
življenjskemu ciklu podatka). Sledljivost posredovanja
podatkov se nanaša tudi za posredovanje osebnih in občutljivih
podatkov izven informacijskega sistema izvajalca zdravstvene
dejavnosti, kar pomeni, da mora prejemnik osebnih podatkov
znotraj svoje organizacije zagotoviti sledljivost osebnih
podatkov ali občutljivih osebnih podatkov (Ozimek, 2010f: 5).
3.8 Politika upravljanja in varovanja geselIdentifikacija uporabnika v omrežje se zagotovi z vstopnim
geslom, ki je namenjeno samo njegovi uporabi, zato uporabnik
tudi prevzema vso odgovornost. Ker uporabniki svoja gesla
uporabljajo strogo zaupne informacije, gesla ne smejo posojati
drugim osebam. Če se zazna sum na razkritje gesla, je potrebno
geslo nemudoma spremeniti in o tem obvestiti pooblaščeno
osebo. Gesla morajo biti (administratorska) vsaj 14 znakov,
vsebovati male, velike črke , števila in simbole, ne smejo
vsebovati šumnikov in jih je potrebno menjati na 90 dni (Žele,
2010b: 5).
3.9 Politika upravljanja kakovosti storitev tretjih
strankV primeru izvajanja storitev tretjih strank, je potrebno imeti
zadosten nadzor in vpogled v izvajanje. Izvede se dokument, ki
opredeli postopke, da tretje stranke zagotavljajo ustrezno
varnost informacij. Ko se pojavi potreba po dostopu tretjih
strank, se izvede analiza tveganja in ugotovi potrebne
varnostne ukrepe. Ko so izpolnjeni vsi pogoji, se s tretjimi
strankami, ki imajo dostop do informacijskega sistema, sklene
pogodba, ki jih zavezuje, da osebnih in internih informacij ne
12
bodo posredovali drugim osebam ter jih ne bodo uporabljali na
kakršenkoli način, v času trajanja pogodbe in v določenem roku
po njenem poteku. Tretjim strankam se omogoči dostop do samo
tistih informacij in sistemov, ki jih nujno potrebujejo pri
svojem delu (Žele, 2010c: 6).
3.10Politika varnostnega kopiranja podatkovZaradi nepredvidenih dogodkov, ki lahko povzročijo
poškodovanje ali izgubo podatkov in so lahko posledica
problemov s strojno, programsko opremo, človeških napak,
naravnih nesreč, itd., je potrebno zagotoviti redno rezervno
kopiranje podatkov na medije daljše trajnosti.
Varnostne kopije morajo biti tako shranjene, da je onemogočen
dostop nepooblaščenih osebam in da so kopije shranjene v
drugem prostoru kot originali. Do varnostnih kopij lahko
dostopajo samo pooblaščene osebe s strani odgovorne vodje za
delovanje informacijskega sistema. Vsako kopijo je potrebno
evidentirati, pri čemer se zabeleži vsebina in čas izdelave
varnostne kopije, enolična označba kopije in zapis o
uspešnosti izdelave. Vsakih 6 mesecev je potrebno preveriti
pristnost prenosnih medijev (naključno izbrana varnostna
kopija podatkov). Odgovorna oseba enkrat mesečno preverja
izvajanje varnostnega kopiranja in ob morebitnih neskladnostih
poroča vodstvu (Žele, 2010d: 6).
3.11Politika zagotavljanja kakovosti infrastruktureVloga kakovostne infrastrukture je zagotavljati primerno
razpoložljivost informacijskega sistema za vse uporabnike. Pri
13
tem mora slediti vsem varnostnim zahtevam in omogočati tekoče
izvajanje zdravstvene dejavnosti.
Informacijski sistem je potrebno podpreti s primerno
infrastrukturo, ki je odvisna od namembnosti območja. Delimo
jih na (Žele in Ozimek, 2010: 5-7):
IS v območju zdravstvenih pisarn (priporoča se
brezprekinitveno napajanje (UPS), zagotavljanje stalne
temperature (<25°C), dvig opreme od tal, ustrezno izvedba
inštalacije, itd.).
IS v območju računalniškega sistema (zahtevana visoka
stopnja razpoložljivosti, UPS, ustrezni okoljski
parametri (temperatura, vlažnost), podvojena varnost
(dvojno napajanje, hlajenje, itd.), prenapetostna
zaščita, protipožarna zaščita, zaščita komunikacij med
napravami).
Območje komunikacijskega sistema, ki zajema območja
komunikacijskih naprav in vodov, mora biti ustrezno
napajano (UPS), ustrezno prenapetostno zaščiteno,
predvsem pa zaradi razpršenosti po objektu, ustrezno
fizično zaščiteno (izlivi vode, požar, nenamerno
poškodovanje).
Z namenom zagotavljanja kakovosti infrastrukture (električna
energija, hlajenje, komunikacijske povezave) mora biti vsa
infrastruktura pregledana s strani pooblaščenih oseb v
primernem časovnem intervalu. Pregled kakovosti je potrebno
izvesti najmanj 1-krat letno.
14
3.12Politika zaščite pred zlonamerno programsko
opremoIzvajalci zdravstvene dejavnosti, ki se priključujejo na
certificirano vstopno točko, morajo omrežje zNET in strežnike
zaščititi pred zlonamerno kodo in njenim razširjanjem. Zaščita
mora zadostiti naslednjim zahtevam (Žele in Kobal, 2010c: 5):
Uporabljati se mora programska oprema za zaščito pred
virusi in drugo nezaželeno programsko opremo (spyware,
adware, itd.), ki je centralno upravljana s strani Centra
za informatiko v zdravstvu.
Programska oprema se mora redno posodabljati, prav tako
je potrebno pregledovati diskovne in prenosne medije.
Za izvajalce zdravstvene dejavnosti, ki se priključujejo v
zNET, je priporočljiva ločitev delov omrežij, ki so predvideni
odjemalcem od delov, kjer so priključeni strežniki.
3.13Politika varovanja v zvezi z osebjemZ namenom poznavanja zahtev varnostnih postopkov, mora
izvajalec zdravstvenih storitev zagotoviti primerna
izobraževanja, usposabljanja in preverjanja za zaposlene in
uporabnike informacijskega sistema. Vsi zaposleni so dolžni
spoštovati dokumente sistema za upravljanje informacij,
vodstvo izvajalca zdravstvene dejavnosti pa je dolžno
poskrbeti, da so dokumenti SUVI ustrezno objavljeni, tako da
so varnostne politike na vpogled vsem zaposlenim in
uporabnikom informacijskega sistema. Varovanje informacij se
začne z zaposlitvijo oziroma prvo uporabo informacijskega
15
sistema in se mora zagotavljati tudi po koncu zaposlitve.
Vsako nespoštovanje varnostnih politik s strani zaposlenih ali
uporabnikov IS mora biti ustrezno obravnavana in sporočena
Centru za informatiko v zdravstvu (Ozimek, 2010g: 5-7).
3.14Politika o navodilih za klasifikacijo označevanja
in ravnanja z informacijamiTa politika temelji na razvrstitvi informacij, zakonodaji in
pogodbenih obveznosti, ki vsebujejo zaščito dostopov do
informacij in storitev. Lastniki informacij so odgovorni za
določanje primerne stopnje klasifikacij, ki so opredeljene kot
(Ozimek, 2010h: 5-7):
Občutljivi osebni podatki (opis zdravstvenega stanja
posameznika).
Osebni podatki (osebni podatki, ne glede na obliko, v
kateri so izraženi).
Podatki za interno rabo (interni postopki in navodila,
katera razkritja bi škodljivo vplivalo na izvajalca).
Javni podatki (nepooblaščeno razkritje ne pomeni
grožnje).
Osebni podatki, ki so klasificirani samo za interno ali javno
rabo, morajo biti od nastanka do uničenja primerno označeni s
primerno oznako klasifikacije informacij. Takšne oznake se
morajo nahajati tako v elektronski kot fizični obliki. Oznake
se ne smejo spreminjati, brez dovoljenja lastnika.
16
3.15Politika oddaljenega dostopaNekateri zaposleni potrebujejo pri svojem delu oddaljen dostop
do lokalnega omrežja. Dodelitev odobri ali zavrne nadrejeni v
skladu s Politiko nadzora dostopa. Dostopa se preko VPN
povezave, ki se zaključuje na požarni pregradi zNET ali
pregradi izvajalca zdravstvene dejavnosti. Uporabniki so
dolžni zagotoviti varnost informacij oziroma preprečiti
možnost nepooblaščenega dostopa do notranjega omrežja. Na
požarni pregradi se morajo beležiti vsi administrativni
dostopi. Na kritičnih strežnikih in aplikacij se z beleženjem
dostopov zagotovijo ustrezne revizijske sledi (Žele in Kobal,
2010d: 5).
4 IZVAJANJE VARNOSTNE POLITIKEZ predstavitvijo minimalnega nabora področnih varnostnih
politik, je potrebno za celovitost sistema z varnostjo
informacij omrežja zNET, upoštevati visoke in formacijske in
omrežne standarde, ki so zastavljeni v projektu eZdravja. Prav
tako je potrebno definirati enotne metodologije in postopke za
izvedbo analize stanja varnosti, analize tveganja, notranje
presoje in vodstvenega pogleda, ki bi omogočil vzpostavitev
enotnega nivoja informacijske varnosti v omrežju zNET. V ta
namen je potrebno pripraviti (Repar in Žele, 2009: 5-6):
Ostale vzorce ključnih varnostnih politik za ohranjanje
celovite varnosti v omrežju zNET (politiko uporabe
elektronske pošte, ravnanje z digitalnimi potrdili, itd.).
17
Priporočila za popis informacijskih sredstev in poslovnih
procesov z vidika informacijske varnosti (izdelava
priporočil, izdelava vzorčnega dokumenta, itd.).
Metodologijo analize stanja informacij pri izvajalcih
zdravstvene dejavnosti (določitev kontrol standarda
ISO/IEC 27002:2005).
Metodologijo analize tveganja (analiza tveganja skladna z
ISO/IEC 27005:2008, definicija načina izračuna ocen
tveganja, postopek obravnav tveganja, itd.).
Postopek izvajanja notranje presoje (opredeljuje pogostost
in način izvajanja, kvalifikacije izvajalcev presoje,
vhodne in izhodne podatke, itd.).
Postopek izvajanja vodstvenih pregledov izvajalcev
zdravstvene dejavnosti (postopek izvajanja, odgovornosti,
vhodni in izhodni podatki, vzorec poročila vodstvenega
pregleda).
Seznanitev izvajalcev zdravstvene dejavnosti (organizacija
izobraževanja, predstavitev izvlečkov varnostnih politik,
itd.).
Certificiranje končnih točk v skladu z metodami in
kriteriji, opredeljivimi v postopku certificiranja
končnih točk pri vključevanju v omrežje zNET.
5 ZAKLJUČEKPristop k projektu izdelave varnostne politike, je za vsako
organizacijo eden ključnih dejavnikov zrelosti in odgovornosti
do okolja v katerem deluje. Dejstvo je, da varnostna politika
pri izvajalcu zdravstvene dejavnosti ne zajema zgolj in samo
18
varnostne politike, ki se nanaša na informacijski sistem,
temveč gre za kompleksno zadevo, ki mora zajeti vsa področja
delovanja oziroma vse procese v bolnišnici. Kompleksnost
sprejetja varnostne politike se pokaže že pri vodstvenem kadru
izvajalca zdravstvene dejavnosti, ki mora razumeti, sprejeti
in podpreti spremembo dosedanje miselnosti zaposlenih in
ostalih uporabnikov zdravstvenih informacijskih sistemov, kar
se v mnogih primerih pokaže, kot zelo velik problem. Ni
dovolj, zgolj da vodstveni in pooblaščeni kader izvaja
izobraževanja in ozaveščanja zaposlenih o pomembnosti
izvajanja varnostne politike, temveč je na vseh zaposlenih
odgovornost, da s svojim odgovornim delovanjem dajejo ostalim
pozitiven signal, o resnem pristopu izvajanja varnostne
politike.
Varnostna politika je živ dokument, ki se glede na analize
merjenja varnostnih mehanizmov, prilagaja in preoblikuje
posebnim potrebam organizacije. Pomembno je, da ima
pooblaščenec oziroma skrbnik varnostne politike, popolno
podporo vodstva, sicer je vso prizadevanje o celovitem
varovanju zgolj točka na papirju.
6 VIRI1. Ozimek M. (2010a). Predstavitev sistema za upravljanje z informacijsko
varnostjo. Ljubljana: Projekt eZdravje. Dostopno prek:
http://www.mz.gov.si/fileadmin/mz.gov.si/pageuploads/eZdr
avje/Novice/gradiva_predstavitve_dogodkov/
informativni_dan_14.2.2011/eZdravje_izobrazevanja-
vodstvo.pdf (18.4.2013).
19
2. Ozimek M. (2010b). Politika fizične zaščite in fizičnega dostopa.
Ljubljana: Projekt eZdravje, Različica:1.0.
3. Ozimek M. (2010c). Politika izdelave in hrambe arhivskih kopij.
Ljubljana: Projekt eZdravje, Različica:1.0.
4. Ozimek M. (2010d). Politika nadzora dostopa do aplikacij, informacij in
sistemov. Ljubljana: Projekt eZdravje, Različica:1.0.
5. Ozimek M. (2010e). Politika nadzora sprememb informacijskega sistema
(Programske in sistemske opreme ter strojne opreme). Ljubljana:
Projekt eZdravje, Različica:1.0.
6. Ozimek M. (2010f). Politika revizijskih sledi. Ljubljana: Projekt
eZdravje, Različica:1.0.
7. Ozimek M. (2010g). Politika varovanja v zvezi z osebjem. Ljubljana:
Projekt eZdravje, Različica:1.0.
8. Ozimek M. (2010h). Politika o navodilih za klasifikacijo, označevanje in
ravnanje z informacijami. Ljubljana: Projekt eZdravje,
Različica:1.0.
9. Ozimek M. in Žele M. (2010). Krovna politika varovanja informacij.
Ljubljana: Projekt »eZdravje«.
10. Repar G. in Žele M. (2009). Predlog terminskega načrta
nadaljnih aktivnosti na področju informacijske in omrežne varnosti v okviru
enotnega omrežja zNET. Ljubljana: Projekt »eZdravje«,
Različica: 0.2.
11. Žele M. (2010a). Predstavitev varnostnih politik. eZdravje.
Dostopno prek:
20
http://www.mz.gov.si/fileadmin/mz.gov.si/pageuploads/eZdr
avje/predstavitev/Predstavitev_politik.pdf (17.4.2013).
12. Žele M. (2010b). Politika upravljanja in varovanja gesel.
Ljubljana: Projekt eZdravje, Različica:1.0.
13. Žele M. (2010c). Politika upravljanja kakovosti in varnosti storitev
tretjih strank. Ljubljana: Projekt eZdravje, Različica:1.0.
14. Žele M. (2010d). Politika varnostnega kopiranja podatkov.
Ljubljana: Projekt eZdravje, Različica:1.0.
15. Žele M. in Kobal A. (2010a). Politika nadzora dostopa do
omrežja. Ljubljana: Projekt eZdravje, Različica:1.0.
16. Žele M. in Kobal A. (2010b). Politika razvoja, spreminjanja in
vzdrževanja programske opreme. Ljubljana: Projekt eZdravje,
Različica:1.0.
17. Žele M. in Kobal A. (2010c). Politika zaščite pred
zlonamerno programsko opremo. Ljubljana: Projekt eZdravje,
Različica:1.0.
18. Žele M. in Kobal A. (2010d). Politika oddaljenega dostopa.
Ljubljana: Projekt eZdravje, Različica:1.0.
19. Žele M. in Ozimek M. (2010). Politika zagotavljanja kakovosti
infrastrukture. Ljubljana: Projekt eZdravje, Različica:1.0.
21