Bezpečnosť eHealth a eSO1
13.07.2015 Views
Share Embed Flag

Bezpečnosť eHealth a eSO1

Bezpečnosť eHealth a eSO1

Bezpečnosť eHealth a eSO1

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
data.nczisk.sk

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

Model starostlivosti o zdravieDeterminanty zdraviaGenetické faktoryFylogenetickénarušenia genómudispozícíe k chorobámOntogenetickéaberáciesomatické mutácieŢivotné a pracovnéprostredieFaktory:fyzikálne dopravachemické vodabiologické ovzdušiepôdaSociálne - ekonomickéFaktory:zdravotná starostlivosťochrana a podpora zdraviasociálna starosltivosťekonomická a sociálna úroveňŢivotný štýlFaktory:fajčenie, alkoholdrogy a závislostifyzická aktivitastravastres, ...Štátverejná správasamosprávaZdravie občanaZdravotné potrebybez obtiažízdrav.problémyUdrţanie / zlepšeniezdravia (podpora/ochrana/prevencia)Ţivot ohrozujúci stav(neodkladná zdravotnástarostlivosť)Navrátenie zdravia(diagnostika/ terapia)Nezhoršovaniezdravotného stavuPomoc pri doţití(paliatívna starostlivosť)ZdravotnástarostlivosťÚrovne starostlivosti ozdravieIndividuálnaadresnáKomunitnáadresná/ neadresnáProfesionálna (PZS)adresnáVerejné zdravotníctvoneadresnáZdroje financovaniaPrivátne zdrojepríspevkydarykomunitaPrivátne zdrojeindividuálne pripoisteniespoluúčasťad hoc paltbyVerejné zdrojesolidárne zdravotnépoistenieVerejné zdroještátny rozpočet

Nár. legislatívaLegislatíva EÚNárodné normyMedzinár. normyArchitekt. rámecCertif. / akr. / HTASieťová vrstva HINPodpora HINDátové úložiská HINPKI infraštruktúraRegistreInfraštruktúra EHRInfraštruktúra EDSNZPSwitch PointEl. preukaz PZSEl. preuk. poist.Infr. ePreskripcieInfr. el. výkaznictvaIntegr. MiddlewareAmbulantné ISLekárenské ISLaboratórne ISPACSNISNTSIZSIS záchrankyObj. / RefferalsePreskripciaIS verejného zdrav.Monitoring ZSIntegrácia do NZPCall centr. <strong>eHealth</strong>TelemedicínaEBMIT podpora DRGEÚ mobilitaeLearningIT nové med. obl.Výskum a vývojVyužitie tokenuIntegrácia s eGov.<strong>eHealth</strong> je zloţitý, jeho bezpečnosť tieţ ...ID Komponenty <strong>eHealth</strong> 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 431 Národná legislatíva sZ P mZ P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P2 Legislatíva EÚ P P3 Národné normy a dátové štandardy sZ Z sZ P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P4 Medzinárodné normy a štandardy P sZ5 Architektonický rámec Z mZ sZ Z P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P P Z6 Certifikácia / akreditácia / HTA sZ mZ Z mZ Z P P P P P P P P P P P7 Sieťová vrstva HIN mZ mZ Z mZ sZ P P P P P P P P P P P P P P P P P P P P P P P P P P P P P Z8 Podpora HIN mZ mZ mZ Z sZ sZ P P P P P P P P P P P P P P P P P P P P P P P P P P9 Dátové úložiská v rámci HIN mZ mZ Z mZ sZ P sZ mZ Z P P P P P P P P P P P P P P P P P P P P P P Z10 PKI infraštruktúra v rámci HIN sZ mZ sZ Z Z P mZ mZ P P P P P P P P P P P P P P P P P P P P P sZ sZ11 Registre sZ mZ sZ mZ mZ sZ P P P P P P P P P P P P P P P P P P P Z P Z Z12 Infraštruktúra pre EHR mZ mZ Z Z sZ sZ Z Z sZ Z Z Z Z Z mZ mZ P P P P P P P P P P P P P P P Z Z13 Infraštruktúra pre EDS mZ mZ Z Z sZ Z Z sZ Z Z sZ Z Z sZ P P Z Z Z P P P P P Z Z14 Národný zdravotný portál mZ mZ mZ mZ Z Z Z Z Z mZ mZ mZ P P P Z Z Z P P P P P P P P Z Z Z Z mZ mZ P P P P P P Z Z15 Switch Point mZ sZ mZ mZ mZ Z mZ mZ Z P P sZ16 Elektronický preukaz PZS (HPI) Z mZ Z mZ sZ sZ Z P P P P P P P sZ sZ17 Elektronický preukaz poistenca Z Z Z Z Z sZ Z P P P P P P P sZ sZ18 Infraštruktúra pre ePreskripciu mZ mZ mZ Z sZ Z Z sZ Z sZ Z sZ sZ Z Z P P P P P Z P Z Z19 Infraštruktúra pre el. clearing mZ mZ mZ sZ Z Z mZ Z Z mZ sZ sZ mZ Z P P P P Z Z Z20 Integračný middleware Z mZ mZ Z mZ mZ Z Z Z Z mZ Z sZ Z Z Z sZ sZ sZ Z sZ Z mZ mZ mZ sZ mZ sZ sZ mZ mZ P P Z mZ P mZ sZ21 Samostatné ambulantné IS Z mZ mZ mZ P Z mZ mZ mZ mZ Z mZ P Z Z Z mZ Z mZ mZ mZ mZ mZ Z Z P P P P P P P P P mZ mZ22 Samostatné lekárenské IS Z mZ mZ mZ P Z mZ mZ mZ mZ Z mZ P Z Z Z mZ Z mZ mZ mZ P P P P P P P P mZ mZ23 Samostatné laboratórne IS Z mZ mZ mZ P Z mZ mZ mZ mZ Z mZ P mZ mZ Z mZ P P Z P P P P P P P P P mZ24 Rádiodiagnostické IS / PACS Z mZ mZ Z P Z Z sZ mZ mZ Z P Z mZ mZ P P Z P P P Z P P mZ25 Nemocničné IS Z mZ mZ mZ P Z Z Z mZ mZ Z Z P Z sZ Z Z mZ Z P P P P mZ P P P Z P Z P P Z P P P mZ26 IS národnej transfúznej služby Z mZ mZ mZ Z mZ Z sZ mZ mZ mZ Z Z mZ P P sZ P P P P Z27 IS pre Integrovaný záchr. systém Z Z mZ Z mZ mZ mZ Z sZ mZ mZ Z mZ Z P Z P P Z P P mZ Z28 IS pre záchranné služby Z mZ mZ mZ mZ mZ Z sZ Z mZ sZ Z sZ P P mZ mZ mZ29 Objednávanie / eRefferals Z mZ mZ Z Z sZ Z Z mZ sZ mZ mZ Z mZ sZ sZ sZ sZ P P mZ P P P mZ mZ30 ePreskripcia sZ mZ Z Z Z Z sZ mZ Z Z Z mZ sZ mZ sZ mZ sZ mZ sZ sZ sZ sZ P P P Z P P P P P sZ mZ31 Informatizácia verejného zdrav. mZ mZ mZ mZ Z mZ mZ Z mZ mZ Z mZ mZ mZ Z mZ mZ mZ Z sZ Z mZ sZ32 Monitoring / hodnotenie poskyt. ZS Z mZ mZ mZ mZ sZ Z mZ mZ mZ Z Z mZ mZ Z Z Z Z sZ Z Z Z mZ Z P Z mZ Z P P P mZ33 Integrácia aplikácií do NZP mZ mZ sZ mZ Z Z Z sZ mZ Z Z mZ mZ Z P P P P Z Z Z mZ P Z P mZ P P Z Z34 Call centrum pre <strong>eHealth</strong> mZ mZ mZ Z Z mZ Z mZ P mZ Z Z mZ Z P Z P mZ mZ mZ Z mZ Z35 Telemedicínske aplikácie Z mZ mZ Z Z Z sZ mZ Z mZ Z Z Z mZ Z mZ mZ Z Z Z Z Z P P mZ Z P P P P P mZ Z36 Evidence based medicine support mZ mZ Z mZ mZ Z mZ Z Z sZ P Z P mZ Z mZ37 IT podpora DRG mZ mZ mZ mZ mZ Z mZ Z Z Z Z Z Z Z Z Z P P mZ P Z Z Z mZ38 EÚ mobilita poistenca / pacienta mZ sZ Z sZ mZ mZ Z sZ mZ mZ Z mZ Z mZ Z Z Z Z Z Z Z mZ Z P P Z P P P P Z mZ39 eLearning v <strong>eHealth</strong> mZ mZ mZ Z mZ mZ mZ mZ mZ mZ Z Z Z P P P P P mZ40 IT v nových oblastiach medicíny Z mZ mZ Z Z Z Z sZ Z Z mZ Z mZ mZ P P P P P P P P P P Z mZ mZ41 Výskum a vývoj v oblasti <strong>eHealth</strong> Z Z Z Z Z mZ mZ mZ mZ mZ mZ mZ mZ mZ mZ mZ P P P P P P P P P P P P P P P P P P P42 Viacnásobné využitie tokenu sZ mZ Z mZ sZ mZ sZ sZ sZ Z sZ mZ Z Z Z Z mZ Z Z Z Z Z P43 Integrácia s eGovernmentom sZ Z mZ Z Z mZ P Z Z mZ mZ mZ Z mZ mZ mZ mZ mZ mZ mZ mZ Z mZ Z Z mZ mZ mZ Z44 PR / celospoločenská akceptácia sZ Z sZ mZ Z mZ Z Z Z mZ sZ Z mZ mZ mZ Z Z Z mZ sZ sZ mZ sZ Z mZ Z mZ sZ45 IS subjektov verejnej správy v zdrav. mZ Z mZ mZ mZ mZ mZ mZ mZ mZ ZsZ - silne závisí odZ - závisí odmZ - v menšej miere závisí odP - dostáva podnety a poţiadavky odPríklad 1: národná legislatíva silne závisí od legislatívy EÚPríklad 2: národná legislatíva dostáva podnety na zmenu od jednotlivých komponentov <strong>eHealth</strong>

Význam bezpečnostiv <strong>eHealth</strong> / <strong>eSO1</strong>• Otázka týkajúca bezpečnosti <strong>eHealth</strong> či v rámci projektu<strong>eSO1</strong> je jednou z najčastejších.• Väčšina obáv občanov znie: čo ak sa niekto neoprávnenýdostane k mojim záznamom?• Zdravotné záznamy sú omnoho citlivejšie vnímané akoakékoľvek iné údaje, ktoré sú v súčastnosti centralizovanezbierané (je to osobitná kategória osobných údajov podľazákona č. 428/2002 Z. z.)• Akékoľvek ohrozenie zdravotných záznamov je vnímanévysoko emotívne, keďže ich zneužitie predstavuje útok dointímnej sféry občanov, s možným dopadom na ichspoločenské postavenie.• Je tu ale ešte jedna podstatná otázka: čo ak lekár nemápotrebné informácie pre správne poskytnutie zdravotnejstarostlivosti?

Protichodnosť poţiadaviekzdravotník / občanOčakávania zdravotníkov (vysoká úroveň dostupnosti):Správne informácie v správny čas na správnommieste pre kaţdého zdravotníka.Predstavy mnohých občanov (vysoká úroveň dôvernosti):Nikomu nič neposkytnúť, aby nedošlo k únikumojich osobných údajov, alebo aspoň absolútnedokonalé zabezpečenie.Otázka:Čo je vyššou prioritou pre onkologického pacienta?

Vymedzenie bezpečnosti<strong>eHealth</strong> / <strong>eSO1</strong>Kaţdá oblasť bezpečnosti je vymedzená:‣ Chránenými aktívami‣ Hrozbami pre aktíva‣ Rizikami vyplývajúcimi z daných hroziebRiziká sú podmienené dopadmi hrozieb,zraniteľnosťami a možnosťami realizácie hrozieb‣ Protiopatreniami na zníženie rizíkZnížením možností nastania hrozbyZnížením dopadov v prípade nastania hrozby

Aktíva v <strong>eHealth</strong>Non-IT aktíva– Zdravie občanov (vysoká úroveň dostupnosti)– Zdroje občanov (čas, financie)– Zdroje poskytovateľov ZS (čas zdravotníkov, energie,priestory, lieky, prístroje, financie)– Zdroje ZP (financie)IT aktíva– Zdravotné záznamy občanov (vysoká úroveňdôvernosti)– <strong>eHealth</strong> služby– IS podporujúce <strong>eHealth</strong> služby– Infraštruktúra pre IS <strong>eHealth</strong>, ...

Základné atribúty IT bezpečnostiNajčastejšia otázka, týkajúca sa prístupu neoprávnenej osoby kzdravotným záznamom občana, sa týka len jedného z trochzákladných atribútov bezpečnosti. Aj ďalšie sú podstatné.Základné atribúty, ktoré musia byť presadené pri tvorbebezpečnostného riešenia pre <strong>eHealth</strong> systém sú:‣ Dôvernosť: dáta v rámci informačného systému nie súdostupné, odovzdávané alebo prezradzovanéneoprávneným subjektom.‣ Dostupnosť: potrebné dáta sú prístupné v prijateľnomčasovom intervale a použiteľné požadovaným spôsobom.‣ Integrita: dáta v rámci informačného systému nie je možnézmeniť neautorizovaným spôsobom.Plus atribúty ako neodmietnuteľnosť, auditovateľnosť, spoľahlivosť.

Narušenie atribútovbezpečnosti v <strong>eHealth</strong>• Narušenie akéhokoľvek atribútu bezpečnosti, čo i len v malommeradle, môže mať ďalekosiahlé následky.• Jeden bezpečnostný incident môţe znehodnotiť celé riešenie.• Narušenie dôvernosti, napr.: časť zdravotných záznamov občanabola sprístupnená neautorizovaným osobám alebo zverejnená,môže byť verenosťou interpretované ako: zdravotné záznamyobčanov budú zvrejnené na internete.• Narušenie dostupnosti, napr.: výpadok internetu u lekára vambulancii, môže byť verejnosťou interpretované ako: informačnésystémy zlyhajú v kritických okamihoch a budú umierať pacienti.• Narušenie integrity, napr.: v zdravotnom zázname pribudlineznámym spôsobom údaje, môže byť verejnosťou interpretovanéako: elektronické dáta môže ktokoľvek akokoľvek zmeniť a sú tedaúplne nespoľahlivé

Zdroje poţiadaviek na bezpečnosť• Legislatívne požiadavky vyplývajúce zo zákona č.428/2002 Z. z. o ochrane osobných údajov v zneníneskorších predpisov.• Štandardy pre verejnú správu v oblasti bezpečnosti.• Požiadavky na bezpečnosť uvedené v Štúdiáchuskutočniteľnosti programu <strong>eHealth</strong> a projektu <strong>eSO1</strong>,zohľadnené aj v ponuke konzorcia• Architektúra eGovernmentu• Požiadavky vyplývajúce z Best practices riešeníbezpečnosti <strong>eHealth</strong> iných krajín EÚ.

Bezpečnosť v procesevývoja riešenia• Pri návrhu riešenia bezpečnosti budú zohľadňovanévšetky požadované atribúty bezpečnosti.• Dodržiavanie bezpečnosti bude vynucované odpočiatočných fáz vývoja riešenia po všetkých subjektoch.• Ak budú splnené všetky požiadavky na funkcionalituriešenia a budú na výber varianty riešenia, rozhodujúceslovo pri výbere varianty má doména Bezpečnosť.• Ak nastane konflikt návrhu riešenia, ktoré ako jedinéspĺňa definovanú funkcionalitu, a bezpečnosti, budetento konflikt riešený na základe analýzy rizík arozhodnutia Riadiaceho výboru projektu.

Smerovanie bezpečnostnýchopatreníBezpečnostné opatrenia a mechanizmy sú smerované dooblasti prevencie, detekcie a eliminácie narušení.Prevencia – antimalware ochrana, hardening počítačov,bezpečná konfigurácia sieťových prvkov, ochranu predúnikom informácií, prvky aplikačnej bezpečnosti.Detekcia – bezpečnostný monitoring všetkýchkomponentov informačného systému <strong>eSO1</strong> v rámciBezpečnostného dohľadového centra, anti-malware SW,IDS.Eliminácia – pripravené plány na obnovu informačnéhosystému <strong>eSO1</strong> po narušení.

Úroveň zabezpečeniazapojených subjektovOkrem zabezpečenia samotného informačného systému <strong>eSO1</strong> budúzabezpečené aj subjekty, ktoré sa do neho pripájať a budú s ním v interakcii.Podľa úrovne zabezpečenia subjekty rozdeľujeme do štyroch skupín:‣ Skupina SEC1 – do tejto skupiny patria organizácie rezortu zdravotníctva(MZ SR, NCZI, ÚDZS, ŠÚKL, ÚVZ), zdravotné poisťovne a subjektyeGovernmentu, ich bezpečnosť bude riešená aj v rámci <strong>eSO1</strong> asamostatnými bezpečnostnými projektami.‣ Skupina SEC2 – do tejto skupiny patria ambulancie, nemocnice, lekárne,laboratória a PACS centrá, ich bezpečnosť bude riešená aj v rámci <strong>eSO1</strong> abudú vydané záväzné štandardy pre lokálne informačné systémy týchtosubjektov.‣ Skupina SEC3 – do tejto skupiny patria všetky subjekty, ktorým budúvytvorené a sprístupnené účty cez NZP, či už sa jedná o samotnýchpoistencov alebo vzdelávacie organizácie či medzinárodné organizácie,subjekty z tejto skupiny budú v rámci projektu <strong>eSO1</strong> čiastočnezabezpečené.‣ Skupina SEC4 – do tejto skupiny patria všetci ostatní používatelia internetu,ktorí budú IS <strong>eSO1</strong> používať len anonymne.

Skupiny subjektov podľa zabezpečenia

Ochrana subjektov v rámci <strong>eSO1</strong>

Základné typy komponentov bezpečnostiKomponenty bezpečnostnej architektúryNetechnické komponentyTechnické komponentyúroveň platformovo nezávislých výstupovDokumenty požadovanélegislatívou• najmä Z. č. 428/2004Dokumenty požadovanéštandardami• ISO 2700x• ISO 27799• výnos MFSR atď.Dedikované – stand-alone• fyzicky separované• napr. firewally, IDSDedikované• jasne oddelené od APV,• spravované Bezp.Dedikované – súčasť IS• logicky separovanéumiestnené na serverochIS• napr. HIPS, AV ochranaZdieľané• tvoriace súčasť inýchkomponentov IS <strong>eSO1</strong>• spravované/vytváranéAPV na základepožiadaviek Bezpečnosti• napr. mechanizmy vkóde APV, hardening OS,databáz

IntegráciaIdentity andaccessmanagementBezpečnosťBezpečnosť – vybrané oblasti riešenia<strong>eHealth</strong> služby a domény5CertifikácieBezpečnosťBezpečnostné mechanizmy sieťovéhoprostredia79Prezentácia15212Aplikačná bezpečnosťAplikačné komponenty10Monitorovanie bezpečnosti a reakcia naincidentyFunkcie dátovej základne118Ochrana pred únikom informáciíDátový štandard11 14 15Dátová základňa613Zosilnená ochrana OS a aplikáciíZabezpečenie bezpečnostnej stabilityprostrediaInfraštruktúra3Netechnické komponenty bezpečnostiPrevádzka34Organizácia134Funkčný blok architektúry Atribút kandidátskej architektúry Komponent architektúry

Bezpečnosťvybranéoblasti riešeniaZabezpečenie bezpečnostnej stability prostredia• Predstavuje riešenie v dvoch základných rovinách:– Statická –udržanie konfiguračnej stability -nezávislé automatizovanémechanizmy pre enforcement a audit zmien– Dynamická- udržanie úrovne bezpečnosti vzhľadom na meniace sa vonkajšiehrozbySieťová bezpečnosť• Vytvorenie bezpečnostných zón na úrovni siete mechanizmami, ktoré sú úplnenezávislé od aplikácií• Dôraz bude kladený na:– maximálnu granularitu– hĺbkovú aplikačnú inšpekciu• Vytvorenie šifrovaných komunikačných kanálovAplikačná bezpečnosť• Implementácia bezpečnostných prvkov do vyvíjaného softvéru od ranných štádií• Vytvorenie architektúry APV s dôrazom na bezpečnostné aspekty

Bezpečnosťvybranéoblasti riešeniaZosilnená ochrana OS a COTS aplikácií• Použitie renomovaných štandardov (DISA, NIST,NSA) prezvýšenie bezpečnosti• Použitie host-based dedikovaných bezpečnostných prvkovMonitorovanie bezpečnosti• Zabezpečenie bezpečnostného monitorovania <strong>eSO1</strong>pomocou SIEM• CIRT capabilityOchrana pred únikom informácií• Implementácia špecializovaných mechanizmov priamo doAPV komponentov• Implementácia dedikovaných nezávislých bezpečnostnýchmechanizmov

Netechnické komponentybezpečnostiCieľ• Splniť legislatívne požiadavky a implementovať systémriadenia informačnej bezpečnostiRozsah činností• Vytvorenie platformovo nezávislých výstupov (riadiacedokumenty IB, nadväzné dokumenty), vrátane výstupovpožadovaných legislatívou najmä Zákonom o ochraneosobných údajov (bezpečnostný projekt, zámer...).• Vytvorenie šablón pre ostatné domény pre platformovozávislé výstupy.• Spracovanie analýzy rizík a jej priebežná aktualizácia.• Kontrola dodržiavania definovaných pravidiel bezpečnosti.

Ďakujem za pozornosť

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!