20 minut czytania

Oto druga część artykułu o Bezpieczeństwie Informacji w firmach branży ochrony zdrowia. Udzielamy w niej praktycznych wskazówek dotyczących wdrożenia systemu zarządzania bezpieczeństwem informacji.

Podziel się tym artykułem na

Bezpieczeństwo informacji w firmach branży ochrony zdrowia cz. II

Bezpieczeństwo Informacji – co i gdzie chronimy?

Bezpieczeństwo Informacji polega na odpowiedzialnym i zgodnym z prawem przetwarzaniu udostępnionych przez Firmę jako pracodawcę informacji obejmujących:

  • – dane medyczne i osobowe pacjentów,
  • – dane osobowe pracowników i współpracowników,
  • – dane dotyczące firm współpracujących,
  • – oraz inne wybrane informacje dotyczące Firmy.

 

Każda firma działająca w branży ochrony zdrowia musi wdrożyć i nadzorować system ochrony informacji.

Na początku należy zidentyfikować i dokonać analizy czynników zewnętrznych i wewnętrznych mających potencjalny wpływ na bezpieczeństwo informacji oraz poszczególnych interesariuszy i określonych przez nich wymagań. W tym celu identyfikuje się i analizuje ryzyko we wszystkich obszarach swojej działalności oraz kontroluje utrzymanie zgodności ze zdefiniowanymi wymaganiami. 

Zgodnie z wymaganiami prawnymi dot. przetwarzania danych osobowych Firma powinna prowadzić:

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
  2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
  3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
  4. Sposób przepływu danych pomiędzy poszczególnymi systemami.

 

Podejście do bezpieczeństwa informacji opiera się na następujących kluczowych atrybutach aktywów informacyjnych:

  1. Poufność – informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
  2. Integralność – dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
  3. Dostępność – bycie osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot.
  4. Rozliczalność – działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
  5. Autentyczność – tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji).
  6. Niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
  7. Niezawodność – spójność zamierzonych zachowań i skutków.

 

Cele Systemu Zarządzania Bezpieczeństwem Informacji

Celem wdrożonego SZBI jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

  • – będzie gwarantem skutecznej ochrony informacji oraz ciągłości procesu ich przetwarzania,
  • – zapewni zachowanie poufności informacji chronionych (poufnych), integralności i dostępności informacji chronionych (o ograniczonym dostępie) oraz integralności i dostępności informacji jawnych (ogólnodostępnych),
  • – ograniczy do akceptowalnego poziomu występowanie zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka oraz innych aktywów, w tym systemów technicznych wspierających przetwarzanie informacji Firmy,
  • – zapewni skuteczne i bezpieczne funkcjonowanie wszystkich aktywów przetwarzających informacje,
  • – zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa informacji  

 

Powyższe cele realizowane powinny być poprzez:

  • – opracowanie struktury organizacyjnej zapewniającej optymalny podział, koordynację zadań i odpowiedzialności związane z zapewnieniem bezpieczeństwa informacji,
  • – wyznaczenie Właścicieli / Liderów dla kluczowych aktywów przetwarzających informacje, którzy zobowiązani są do zapewnienia im możliwie najwyższego poziomu bezpieczeństwa,
  • – wyznaczenie Właścicieli Ryzyka,
  • – przyjęcie do stosowania przez wszystkich Pracowników / Współpracowników polityki, procedur, instrukcji, zasad i innych regulacji wewnętrznych Firmy dot. bezpieczeństwa informacji, wyszczególnionych w dalszej części niniejszego dokumentu,
  • – podział informacji na statusy i przyporządkowanie im zasad postępowania,
  • – określenie zasad przetwarzania informacji, w tym stref / jednostek organizacyjnych, w których może się ono odbywać,
  • – przegląd i aktualizację polityki i procedur postępowania, dokonywaną przez osoby odpowiedzialne, w celu jak najlepszej reakcji na zagrożenia i zdarzenia, w tym przegląd zgodności z wymaganiami prawnymi realizowany nie rzadziej niż raz w roku,
  • – ciągłe doskonalenie Zintegrowanego Systemu Zarządzania, w tym SZBI, zgodnie z wymaganiami prawa, norm i zaleceniami wszystkich zainteresowanych stron.

 

Informacja może znajdować się w postaci zapisu na różnych nośnikach, takich jak:

  • – nośniki papierowe,
  • – nośniki wymienne (elektroniczne, mobilne) – płyty CD, DVD, dyskietki, karty pamięci, pendrive`y, urządzenia przenośne, dyski, laptopy, palmtopy, telefony komórkowe, wbudowane dyski komputerowe,
  • – systemy informatyczne,
  • – sieciowe pakiety, dane przesyłane i przetwarzane w procesie opracowywania oraz udostępniania informacji (wykaz aktualnie stosowanych i projektowanych systemów informatycznych prowadzi Pion Informatyki i Projektów),
  • – informacje w postaci słownej (bezpośredniej lub okazjonalnie usłyszanej), rozmowy między osobami uprawnionymi (w niewłaściwym miejscu, w obecności osób trzecich), przez telefon itp.

 

Podstawowe zasady Firmy z zakresu ochrony informacji:

Każdy Pracownik / Współpracownik zobowiązany jest zapoznać się z obowiązującymi dokumentami systemowymi, Regulaminem Pracy, zasadami i wytycznymi IT dot. SZBI i użytkowania systemów informatycznych.

Ponadto, każdy Pracownik / Współpracownik w ramach wprowadzenia na stanowisko pracy ma obowiązek odbyć szkolenie dotyczące zapewniania bezpieczeństwa informacji w Firmie, w tym ochrony danych osobowych i medycznych, a fakt ten jest dokumentowany odpowiednim zapisem. Za przeprowadzenie szkolenia odpowiada Przełożony lub osoba przez niego wyznaczona. 

Dobrą praktyką jest aby Pracownicy / Współpracownicy przetwarzający dane / informacje byli zobowiązani do stosowania się do:

  • – polityki czystego biurka w odniesieniu do dokumentów i nośników ruchomych, co oznacza, że dokumenty papierowe sklasyfikowane, listy adresowe, telefoniczne, dyskietki, płyty CD, DVD, pendrivy, telefony komórkowe itp. nie używane w danej chwili i po zakończeniu pracy powinny być przechowywane w bezpiecznym (zamkniętym) miejscu,
  • – polityki czystego ekranu w odniesieniu do terminali, komputerów i laptopów, co oznacza stosowanie wygaszacza ekranu po 10 minutach bezczynności, nie pozostawianie bez nadzoru ww. nośników w stanie zarejestrowania do sieci oraz dbałość o niezamieszczanie na pulpicie ekranu monitora dużej liczby folderów i plików, szczególnie o nazwach wskazujących na ich poufną zawartość,
  • – polityki ochrony urządzeń faksowych, fotokopiarek i innych podobnych pozostających bez nadzoru oraz niezwłocznego usuwania dokumentów z urządzeń po wydrukowaniu czy kopiowaniu – polityka niszczenia zbędnych dokumentów i zapisów w niszczarkach i specjalnych kontenerach,
  • – polityki niepozostawiania bez nadzoru i zakazu wynoszenia dokumentów i nośników przetwarzających dane Firmy bez zgody przełożonego i wbrew przyjętym zasadom,
  • – polityki wykorzystywania wyłącznie do celów służbowych dokumentów papierowych sklasyfikowanych, list adresowych i telefonicznych, telefonów komórkowych, sprzętu informatycznego (terminali, komputerów, laptopów itp.), nośników informatycznych (dyskietek, przenośnych pamięci, płyt CD, DVD, pendrivów itp.), użytkowanych programów, poczty mailowej, intranetu i internetu, – polityka ochrony swojego hasła / kodu i zakazu udostępniania haseł i kodów do systemów informatycznych i wejść osobom trzecim.

 

ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI 

  1. Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy Pracownicy / Współpracownicy, zgodnie z obowiązującą strukturą organizacyjną, podziałem kompetencji pomiędzy jednostkami organizacyjnymi, ustalonymi opisami stanowisk i obowiązującym Katalogiem Ról i Uprawnień dostępu do systemów informatycznych.
  2. Każdy Pracownik / Współpracownik ma obowiązek zgłosić naruszenie wymagań SZBI oraz może składać propozycje doskonalenia SZBI.
  3. Każdy Pracownik / Współpracownik jest szkolony w zakresie SZBI, ochrony danych medycznych i osobowych (fakt odbycia szkolenia jest dokumentowany zapisem).

 

ZARZĄDZANIE AKTYWAMI 

I. Identyfikacja aktywów.

Ewidencja aktywów informacyjnych lub przetwarzających informacje Firmy (urządzenia, oprogramowanie, informacje, ludzie) prowadzona jest przez Liderów procesów / Właścicieli aktywów, pod nadzorem Pełnomocnika ds. Bezpieczeństwa Informacji.

II. Klasyfikacja i postępowanie z informacjami.

Przyjmuje się następującą klasyfikację informacji :

  • – Informacje poufne Firmy, dla których nośniki oznaczane są statusem „poufne”.
  • – Informacje o ograniczonym dostępie tj. dostępne z ograniczeniami w poszczególnych jednostkach organizacyjnych, grupach zadaniowych i obszarach, dla których nośniki oznaczane są statusem „o ograniczonym dostępnie”.
  • – Informacje ogólnodostępne, dla których nośniki nie są oznaczane w żaden szczególny sposób.

 

III. Najważniejsze zasady postępowania z informacją:

  • – Informacje, dane oraz dokumenty podlegające ochronie informacji są wyraźnie oznaczone, zgodnie ze stosowaną klasyfikacją informacji, dzięki czemu ich użytkownicy są świadomi obowiązków w zakresie zapewnienia ich bezpieczeństwa.
  • – Wykaz grup informacji o statusie ochronnym znajduje się w dokumencie „Informacje sklasyfikowane”, stanowiącym integralną część dokumentu „Spis aktywów”. Wykaz ten jest nadzorowany przez Pełnomocnika ds. Bezpieczeństwa Informacji.
  • – Wymiana informacji z innymi podmiotami podlega ścisłej kontroli. Każdy z Pracowników / Współpracownik przekazuje tylko te informacje, do których ma uprawniony dostęp i jakie są niezbędne dla zrealizowania procesów biznesowych firmy.
  • – Dokumenty i nośniki zawierające informacje sklasyfikowane podlegają ochronie i są niszczone z uwzględnieniem wymagań ustalonych w procedurach i zasadach wewnętrznych oraz w obecności osób upoważnionych.
  • – Dostęp do informacji poufnych Firmy i chronionych przyznaje się w oparciu o zakres zadań Pracownika / Współpracownika, zdefiniowany w postanowieniach umowy o pracę / zlecenia / innej umowy, zakresie jego obowiązków służbowych (opis stanowiska pracy) lub treści zleconego zadania operacyjnego.
  • – Każdy użytkownik udostępnionej mu informacji, odpowiada za przetwarzanie przyjętych zasad bezpieczeństwa danej informacji, czyli zapewnienia jej poufności, dostępności, integralności, niezaprzeczalności, rozliczności, autentyczność i niezawodności.
  • – Dostęp do informacji realizowany jest wg wymagań ochronnych wynikających z nadanego jej statusu (poufna / o ograniczonym dostępie / ogólnodostępna).
  • – W kontaktach z podmiotami zewnętrznymi główną zasadą jest upewnienie się, co do poziomu ochrony informacji u danego podmiotu zewnętrznego (nie powinien być niższy niż wymagany przez Firmę) oraz podpisanie z danym podmiotem umowy dotyczącej zapewnienia poufności informacji.

 

METODYKA PRZEPROWADZANIA ANALIZY RYZYKA

W celu weryfikacji efektywności stosowanych zabezpieczeń, okresowo przeprowadzane są analizy ryzyka dla bezpieczeństwa informacji, a w przypadku zmian organizacyjnych lub biznesowych – po ich wprowadzeniu.

 

Główne zasady i wymagania Polityki Ryzyka Informacyjnego

  1. Postępowanie z informacją jest zgodne z obowiązującymi regulacjami prawnymi.
  2. Monitorowanie zgodności z wymaganiami i badanie incydentów BI odbywa się na bieżąco.
  3. Monitorujemy ochronę udostępnionej informacji, którą dysponują Strony Trzecie.
  4. Dostęp do informacji odbywa się zgodnie z przyjętymi zasadami i procedurami.
  5. Posiadamy zarówno techniczne, jak też proceduralne zabezpieczenia informacji.
  6. Działamy zgodnie z prawem, respektując decyzje Pacjentów.

 

Postępowanie z nośnikami informacji – najważniejsze zasady postępowania

  • – Pracodawca przekazując pracownikowi w posiadanie nośniki wymienne, dostęp VPN, karty dostępu do Internetu, przekazuje jednocześnie odpowiedzialność za niniejszy sprzęt.
  • – Komputery przenośne powinny być przewożone jako bagaż podręczny i w miarę możliwości powinno się je maskować.
  • – Nie należy pozostawiać dokumentów, nośników danych czy innego sprzętu w hotelach ani w samochodzie bez kontroli.
  • – Należy stosować odpowiednie zabezpieczenia, niezbędne podczas pracy w domu – zamykane szafki, polityka czystego ekranu, zabezpieczanie nośników przed dziećmi.
  • – Zabrania się wynoszenia dokumentów i nośników przetwarzających dane bez zgody przełożonego i wbrew przyjętym zasadom.
  • – Zabrania się pożyczania swoich nośników wymiennych oraz kart dostępu.
  • – Pracodawca może żądać od pracownika zwrotu równowartości lub jego części za zagubiony, ukradziony, uszkodzony lub zniszczony sprzęt w tym utracone dane będące własnością Firmy.
  • – Utrata jakiegokolwiek nośnika informacji stanowi incydent bezpieczeństwa informacji i wymaga natychmiastowego zgłoszenia do Helpdesk lub przełożonego!

 

Ochrona informacji przetwarzanych przy użyciu faksów, kopiarek, drukarek

  • – Uniemożliwienie dostępu do urządzeń biurowych osobom postronnym, poprzez odpowiednie ustawienie, blokadę poza godzinami pracy, kontrolę wydruków za pomocą kart magnetycznych.
  • – Odbieranie dokumentów natychmiast po wykonaniu przez urządzenie zleconego zadania.
  • – Niszczenie dokumentów papierowych ręcznie lub w niszczarkach.
  • – Umieszczanie nieudanych wydruków w specjalnych, metalowych i zamkniętych kontenerach znajdujących się w Centrach Medycznych i na każdym piętrze biura 

 

Ochrona informacji w miejscach publicznych i podczas podróży

  • – Wynoszenie informacji o firmie na zewnątrz i rozmowa o sprawach służbowych w miejscu publicznym to realne ryzyko utraty lub udostępnienia poufnych informacji służbowych osobom nieuprawnionym lub konkurencji.
  • – W przypadku pracy na laptopie, smartfonie, analizy służbowych dokumentów lub prowadzenia rozmów na tematy służbowe w miejscach publicznych należy się ZAWSZE upewnić czy osoba nieuprawniona nie ma do nich wglądu lub dostępu.
  • – Zabronione jest przesyłanie dokumentów za pośrednictwem prywatnej poczty mailowej. Dozwolone jest przesyłanie takich dokumentów tylko ze służbowego komputera zalogowanego do sieci firmowej.
  • – W przypadku prezentowania jakichkolwiek materiałów o firmie na zewnątrz rekomenduje się skonsultowanie ich treści z działem prasowym, prawnym lub bezpieczeństwa.

 

BEZPIECZEŃSTWO FIZYCZNE

I. Zasady dostępu do pomieszczeń

Dostęp pacjentów w Centrum Medycznym

  • – Pacjenci w Centrach Medycznych poruszają się tylko w obszarach ogólnodostępnych (korytarze, poczekalnia).
  • – Do gabinetów lekarskich pacjenci zapraszani są przez personel Centrum Medycznego.
  • – Lekarz/pozostały personel nie powinien pozostawiać pacjenta samego w gabinecie.

               

Dostawcy i identyfikacja gości

  • – Za gości odpowiada osoba do której są oni kierowani.
  • – Zabrania się pozostawiania bez nadzoru gości w pomieszczeniach.
  • – Zabrania się przebywania na terenie Biura Firmy/ Centrów Medycznych osób nieupoważnionych.

 

II. Zakaz nagrywania i fotografowania

  • – W Centrach Medycznych obowiązuje zakaz nagrywania i fotografowania.
  • – Pacjent nie może nagrywać konsultacji lekarskiej bez zgody lekarza.
  • – Możliwe jest filmowanie i fotografowanie na terenie Centrum Medycznego po wcześniejszym skontaktowaniu się z Kierownictwem Centrum Medycznego lub Departamentem Marketingu i Komunikacji.

 

III. Odpowiedzialność

  1. Odpowiedzialność prawna z tytułu niezgodnego z prawem przetwarzania informacji LUX MED w tym danych osobowych może dotyczyć zarówno Firmy, jej pracowników, współpracowników oraz dostawców i partnerów biznesowych.
  2. W takich przypadkach odpowiedzialność prawna może mieć charakter:
  • – administracyjny (Firma, partnerzy),
  • – karny (tylko osoby fizyczne),
  • – cywilny (Firma, partnerzy),
  • – dyscyplinarny (tylko pracownicy).

 

Zdarzenia Bezpieczeństwa Informacji

KATEGORIE ZDARZEŃ MAJĄCYCH NEGATYWNY WPŁYW NA BEZPIECZEŃSTWO INFORMACJI TO:

  • – IT i Telekomunikacyjne: niepoprawne działanie systemu lub oprogramowania, przeciążenie, niekontrolowane zmiany, awaria łącz centrala – odbiorca, awaria serwerów, naruszenia sprzętowe (niepoprawne działanie urządzeń drukujących i sprzętu IT, brak funkcjonalności, zepsucie, blokada hasła, nieuprawniony dostęp itd.).
  • – Bezpieczeństwo fizyczne: naruszenia bezpieczeństwa fizycznego tzn. zamków, drzwi, szaf, wnoszenie sprzętu nie będącego własnością Firmy na jej teren, wynoszenie sprzętu poza siedzibę bez zezwolenia, kradzież, pożar, powódź, nieprawidłowe postępowanie z informacją sklasyfikowaną, niezarejestrowane obce osoby na terenie Centrum Medycznego lub biura Firmy.
  • – Bezpieczeństwo osobowe: utrata poufności (kradzież, zagubienie) danych osobowych pracownika, klienta, pacjenta, współpracownika.

 

Podziel się tym artykułem na

Skontaktuj się z nami: