VERİ ve AĞ GÜVENLİK POLİTİKASI

... konulu sunumlar: "VERİ ve AĞ GÜVENLİK POLİTİKASI"— Sunum transkripti:

1 VERİ ve AĞ GÜVENLİK POLİTİKASI
SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI 26-28 MART 2008 Kızılcahamam İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı

2 Sağlık Bakanlığı Veri ve Ağ Güvenlik Politikası
1 Bilişimde Güvenlik Kavramı 2 Risk Analizi 3 Güvenlik Politikası 4 Sağlık Bakanlığı Güvenlik Politikası 5 5 Mevzuat Çalışmasından Beklentiler

3 Bilişimde Güvenlik Kavramı
Güvenlik bir “KAVRAM”dır “Mutlak gizlilikle” güvenlik sağlanmaz “security by obscurity” Risk varsa güvenlik zorunludur Güvenlik, kısmî olamaz, az güvenli sistem olmaz Güvenliğin varlığı, risklere göre değerlendirilir (görecelidir)

4 Bilişimde Güvenlik Kavramı
Güvenliğin Unsurları Güvenlik saldırısı: Bir kuruluşun bilgi güvenliği saygınlığını azaltır. Engelleme, dinleme, değiştirme ve yeniden oluşturma olarak 4 sınıf saldırı vardır. Güvenlik Mekanizması: Bir güvenlik atağının anlaşılması, korunma veya onarımdır. Güvenlik Servisi: Veri işleme sistemi ve kuruluşun bilgi iletim sisteminin güvenliğini artırma servisidir. Servis, güvenlik saldırılarını engeller ve çeşitli güvenlik mekanizması kullanır.

5 Bilişimde Güvenlik Kavramı
Veri ve ağ yönetimi

6 Bilişimde Güvenlik Kavramı
Güvenli Sistemin Özellikleri Gizlilik (pasif saldırılara karşı) Yekilendirme Bütünlük İnkar edilememe Erişim denetimi Kullanıma hazırlık

7 Bilişimde Güvenlik Kavramı
Korunacak varlıkları belirle Riskleri ve saldırı yöntemlerini analiz et Korunma yöntemlerini ve maliyetleri tespit et Güvenlik politikasını belirle Politikanın uygulanması denetle Politikayı, gerektikçe güncelle Risk yoksa güvenliğe gerek yok!

8 Risk Analizi Analiz nasıl yapılır?
Ne tür varlıkları korumak gereklidir. Bu varlıkları nelerden korumalıyız. Ağa kim tehlikeli saldırı yapabilir ve ne kazanabilir. Bir tehdidin varlıklarımızı bozma olasılığı ne kadardır. Eğer bir tehlikeli saldırı olursa bunun ivedi maliyeti ne olacaktır. Bir atak veya bozulmanın geri kazanma maliyeti ne olacaktır. Bu varlıklar, etkin maliyet ile nasıl korunabilir.

9 Risk Analizi Risk yoksa güvenliğe gerek yok Korunacak varlıklar
Veriler Gizlilik Bütünlük Kullanıma hazırlık Kaynaklar Zaman Saygınlık

10 Risk Analizi Saldırı türleri Süreçsel saldırılar Engelleme Dinleme
Değiştirme Oluşturma

11 Risk Analizi Saldırı türleri İşlemsel saldırılar

12 Risk Analizi Saldırganlar belirlenir Saldırganlar Araçlar Erişim Sonuç
Amaç Bilgisayar korsanları Kullanıcı komutları Sistem zayıflıkları Bilgi bozma Politik kazanç Casuslar Komut dosyası veyaprogram Tasarım zayıflıkları Bilgi çalma ya da açığa çıkarma Finansal kazanç Teröristler Araç takımı Hizmet çalma Politik kazanç, zevk Meraklılar Dağıtık araçlar İzinsiz erişim Hizmet önleme, hizmetten yararlanma Sosyal statüye meydan okuma Profesyonel suçlular Veri dinleyici sistemler Politik, finansal kazanç

13 Risk Analizi Risklere karşı üç temel seçim vardır
Kabul: Eğer korunmasızlık çok küçük boyutlarda ve onu koruma altına almak büyük maliyet getiriyorsa, politikanız bu riskleri kabul edebilir. Devretme: Bazı durumlarda riske karşı direk olarak koruma almaktansa onun için birini (kişi, kurum, firma) görevlendirmek. Kaçınma: Güvenlik olaylarının neredeyse hiç olmayacağı yerleri korumaya almak maliyet getireceğinden bundan kaçınılmalıdır.

14 Risk Analizi Dengeli maliyet. Saygınlığın maliyeti !

15 Kullanıcı sözleşmeleri
Güvenlik Politikası Güvenlik Politikası: “Bilişimin güvenlik kanunu” Kullanıcı sözleşmeleri Kanunlar Prosedürler Güvenlik Politikası

16 Güvenlik Politikası İyi bir Güvenlik Politikası nasıldır?
Uygulanabilir olmalıdır Paydaşlar tarafından kolaylıkla erişilebilmelidir. Güvenlik hedefleri açıkça tanımlamalıdır. Politikada açıklanan konular doğru bir şekilde tanımlanmalıdır. Kuruluşun konumunu açıkça göstermelidir. Politikanın savunmasını yapılmalıdır. Politikanın ugulanma koşulları açıklamalıdır.

17 Sağlık Bakanlığı Güvenlik Politikası
Başbakanlık “Bilgi Sistem ve Ağları İçin Güvenlik Kültürü” konulu 2003/10 sayılı Genelgesi doğrultusunda; Sağlık Bakanlığı “Bilgi Güvenliği Politikası” 07 Ekim 2005 tarihinde tüm kurumlarımıza gönderilmiştir. Bilgi ve iletişim teknolojilerin gelişimi doğrultusunda “Bilgi Güvenliği Politikaları” güncellenmiş ve 17 Eylül 2007 tarihinde tüm kurumlarımıza gönderilmiştir. Çalışanlar için Bilgi Güvenliği Politikası Yöneticiler için Bilgi Güvenliği Politikası

18 Sağlık Bakanlığı Güvenlik Politikası
Çalışanlar için Bilgi Güvenliği Politikası E-Posta Politikası Şifre Politikası Anti-virus politikası Ağ Yönetim Politikası İnternet Kullanım Politikası Genel Kullanım Politikası Toplam 6 ana başlıktan oluşmaktadır.

19 Sağlık Bakanlığı Güvenlik Politikası
Yöneticiler için Bilgi Güvenliği Politikası E-Posta Politikası Şifre Politikası Ağ Yönetim Politikası İnternet Erişim ve Kullanım Politikası Yazılım Geliştirme Kimlik doğrulama ve Yetkilendirme Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası … Toplam 28 ana başlıktan oluşmaktadır.

20 Sağlık Bakanlığı Güvenlik Politikası
Kişisel Sağlık Kayıtlarının Güvenliği Politikası Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar (hastanın tedavisinden sorumlu sağlık personeli) ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Hastanın rızası olmadan hiçbir çalışan yazılı veya sözlü olarak hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Kurum, kritik bilgiye erişim hakkı olan çalışanlar ve firmalar ile gizlilik anlaşması imzalamalıdır ...

21 Mevzuat Çalışmasından Beklentiler
Bilişimin kendi “kanunları” zaten var Güvenlik sertifikaları Güvenlik standartları Kurumsal güvenlik politikaları Bilişim güvenliği sektörü Bilişim güvenliği araçları ... Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

22 Mevzuat Çalışmasından Beklentiler
Bilişim gerekli teknik altapıya da sahip E-imza Veri standartları (USVS, MSVS, SKRS...) Haberleşme standartları (HL7, IHE, IDE...) Şifreleme standartları (SSL...) Veritabanı ve sistem yönetim standartları ... Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

23 Mevzuat Çalışmasından Beklentiler
Cevap beklenen temel sorular... Kişisel sağlık verisi nedir? Sağlık verisi sınıflandırılabilir mi? Kimler, hangi şartlarda, hangi sağlık verilerin ve ne kadar süreyle erişebilir? Kaydedilen veya erişilen veri ne kadar süre ve nerelerde saklanabilir? Veriler hangi amaçlarla kullanılabilir? Bu kurallarla ilgili istisnâlar nelerdir? Kurallara uyulmaması halinde cezaî müeyyideler nelerdir?

24 Mevzuat Çalışmasından Beklentiler
Hukuk kurallara dayalıdır. Bilişim de öyle Hukuk kurallara dayalı, ancak bu konuda “kural koymak” kolay değil: Tıp, bir “SANAT”. Görecelik çok fazla. Hangi doktor, hangi veriye erişecek? Yoruma açık ifadeler, uygulamayı zorlaştırıyor Ödeme kurumları, ödeme için sağlık verisine muhtaç mı?

25 Mevzuat Çalışmasından Beklentiler
Her hukuk kuralı uygulan(a)maz. Bilişimde de öyle  Kurallardaki uygulama zorlukları (devam): Hukukun ifade ettiği kurallar “GENEL” olmamalı “Hastanın rızası” (patient consent) “Somut gerekçeler” “Sağlık kurumları” Taraflardan beklenen farkındalık seviyesi çok yüksek (hasta hakları, hekim hakları...) Kurallar gerekleri pratik hayata aktarılabilmeli (yazılı rıza, e-imza, e-kimlik kartı)

26 TEŞEKKÜRLER Sorular...