Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı 26-28 MART 2008 Kızılcahamam.

Benzer bir sunumlar


... konulu sunumlar: "SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı 26-28 MART 2008 Kızılcahamam."— Sunum transkripti:

1 SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı MART 2008 Kızılcahamam

2 Sağlık Bakanlığı Veri ve Ağ Güvenlik Politikası Bilişimde Güvenlik Kavramı 1 Risk Analizi 2 3 Güvenlik Politikası 4 5 Mevzuat Çalışmasından Beklentiler 5 Sağlık Bakanlığı Güvenlik Politikası

3 “Mutlak gizlilikle” güvenlik sağlanmaz “ security by obscurity ” Risk varsa güvenlik zorunludur Güvenlik, kısmî olamaz, az güvenli sistem olmaz Güvenliğin varlığı, risklere göre değerlendirilir (görecelidir) Güvenlik bir “KAVRAM”dır Bilişimde Güvenlik Kavramı

4 Güvenlik saldırısı : Bir kuruluşun bilgi güvenliği saygınlığını azaltır. Engelleme, dinleme, değiştirme ve yeniden oluşturma olarak 4 sınıf saldırı vardır. Güvenlik Mekanizması : Bir güvenlik atağının anlaşılması, korunma veya onarımdır. Güvenlik Servisi : Veri işleme sistemi ve kuruluşun bilgi iletim sisteminin güvenliğini artırma servisidir. Servis, güvenlik saldırılarını engeller ve çeşitli güvenlik mekanizması kullanır. Güvenliğin Unsurları Bilişimde Güvenlik Kavramı

5 Veri ve ağ yönetimi Bilişimde Güvenlik Kavramı

6 Gizlilik (pasif saldırılara karşı) Yekilendirme Bütünlük İnkar edilememe Erişim denetimi Kullanıma hazırlık Güvenli Sistemin Özellikleri Bilişimde Güvenlik Kavramı

7 Korunacak varlıkları belirle Riskleri ve saldırı yöntemlerini analiz et Korunma yöntemlerini ve maliyetleri tespit et Güvenlik politikasını belirle Politikanın uygulanması denetle Politikayı, gerektikçe güncelle Risk yoksa güvenliğe gerek yok! Bilişimde Güvenlik Kavramı

8 Ne tür varlıkları korumak gereklidir. Bu varlıkları nelerden korumalıyız. Ağa kim tehlikeli saldırı yapabilir ve ne kazanabilir. Bir tehdidin varlıklarımızı bozma olasılığı ne kadardır. Eğer bir tehlikeli saldırı olursa bunun ivedi maliyeti ne olacaktır. Bir atak veya bozulmanın geri kazanma maliyeti ne olacaktır. Bu varlıklar, etkin maliyet ile nasıl korunabilir. Analiz nasıl yapılır? Risk Analizi

9 Korunacak varlıklar Veriler Gizlilik Bütünlük Kullanıma hazırlık Kaynaklar Zaman Saygınlık Risk yoksa güvenliğe gerek yok Risk Analizi

10 Süreçsel saldırılar Engelleme Dinleme Değiştirme Oluşturma Saldırı türleri Risk Analizi

11 İşlemsel saldırılar Saldırı türleri Risk Analizi

12 Saldırganlar belirlenir Risk Analizi SaldırganlarAraçlarErişimSonuçAmaç Bilgisayar korsanları Kullanıcı komutları Sistem zayıflıkları Bilgi bozmaPolitik kazanç CasuslarKomut dosyası veyaprogram Tasarım zayıflıkları Bilgi çalma ya da açığa çıkarma Finansal kazanç TeröristlerAraç takımıTasarım zayıflıkları Hizmet çalmaPolitik kazanç, zevk MeraklılarDağıtık araçlarİzinsiz erişimHizmet önleme, hizmetten yararlanma Sosyal statüye meydan okuma Profesyonel suçlular Veri dinleyici sistemler Politik, finansal kazanç

13 Kabul : Eğer korunmasızlık çok küçük boyutlarda ve onu koruma altına almak büyük maliyet getiriyorsa, politikanız bu riskleri kabul edebilir. Devretme : Bazı durumlarda riske karşı direk olarak koruma almaktansa onun için birini (kişi, kurum, firma) görevlendirmek. Kaçınma : Güvenlik olaylarının neredeyse hiç olmayacağı yerleri korumaya almak maliyet getireceğinden bundan kaçınılmalıdır. Risklere karşı üç temel seçim vardır Risk Analizi

14 Dengeli maliyet. Saygınlığın maliyeti ! Risk Analizi

15 Güvenlik Politikası: “Bilişimin güvenlik kanunu” Güvenlik Politikası Prosedürler Kanunlar Kullanıcı sözleşmeleri

16 Uygulanabilir olmalıdır Paydaşlar tarafından kolaylıkla erişilebilmelidir. Güvenlik hedefleri açıkça tanımlamalıdır. Politikada açıklanan konular doğru bir şekilde tanımlanmalıdır. Kuruluşun konumunu açıkça göstermelidir. Politikanın savunmasını yapılmalıdır. Politikanın ugulanma koşulları açıklamalıdır. İyi bir Güvenlik Politikası nasıldır? Güvenlik Politikası

17 Sağlık Bakanlığı Güvenlik Politikası Başbakanlık “Bilgi Sistem ve Ağları İçin Güvenlik Kültürü” konulu 2003/10 sayılı Genelgesi doğrultusunda; Sağlık Bakanlığı “ Bilgi Güvenliği Politikası ” 07 Ekim 2005 tarihinde tüm kurumlarımıza gönderilmiştir. Bilgi ve iletişim teknolojilerin gelişimi doğrultusunda “Bilgi Güvenliği Politikaları” güncellenmiş ve 17 Eylül 2007 tarihinde tüm kurumlarımıza gönderilmiştir. Çalışanlar için Bilgi Güvenliği Politikası Yöneticiler için Bilgi Güvenliği Politikası

18 Sağlık Bakanlığı Güvenlik Politikası E-Posta Politikası E-Posta Politikası Şifre Politikası Şifre Politikası Anti-virus politikası Anti-virus politikası Ağ Yönetim Politikası Ağ Yönetim Politikası İnternet Kullanım Politikası İnternet Kullanım Politikası Genel Kullanım Politikası Genel Kullanım Politikası Toplam 6 ana başlıktan oluşmaktadır. Çalışanlar için Bilgi Güvenliği Politikası

19 Sağlık Bakanlığı Güvenlik Politikası E-Posta Politikası E-Posta Politikası Şifre Politikası Şifre Politikası Ağ Yönetim Politikası Ağ Yönetim Politikası İnternet Erişim ve Kullanım Politikası İnternet Erişim ve Kullanım Politikası Yazılım Geliştirme Yazılım Geliştirme Kimlik doğrulama ve Yetkilendirme Politikası Kimlik doğrulama ve Yetkilendirme Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası … Toplam 28 ana başlıktan oluşmaktadır. Yöneticiler için Bilgi Güvenliği Politikası

20 Sağlık Bakanlığı Güvenlik Politikası Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar (hastanın tedavisinden sorumlu sağlık personeli) ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar (hastanın tedavisinden sorumlu sağlık personeli) ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Hastanın rızası olmadan hiçbir çalışan yazılı veya sözlü olarak hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Hastanın rızası olmadan hiçbir çalışan yazılı veya sözlü olarak hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Kurum, kritik bilgiye erişim hakkı olan çalışanlar ve firmalar ile gizlilik anlaşması imzalamalıdır... Kurum, kritik bilgiye erişim hakkı olan çalışanlar ve firmalar ile gizlilik anlaşması imzalamalıdır... Kişisel Sağlık Kayıtlarının Güvenliği Politikası

21 Güvenlik sertifikaları Güvenlik standartları Kurumsal güvenlik politikaları Bilişim güvenliği sektörü Bilişim güvenliği araçları... Yeter ki, hukuk “ taraflarca uygulanabilir bir yol ” çizsin Bilişimin kendi “kanunları” zaten var Mevzuat Çalışmasından Beklentiler

22 E-imza Veri standartları (USVS, MSVS, SKRS...) Haberleşme standartları (HL7, IHE, IDE...) Şifreleme standartları (SSL...) Veritabanı ve sistem yönetim standartları... Yeter ki, hukuk “ taraflarca uygulanabilir bir yol ” çizsin Bilişim gerekli teknik altapıya da sahip Mevzuat Çalışmasından Beklentiler

23 Kişisel sağlık verisi nedir ? Sağlık verisi sınıflandırılabilir mi? Kimler, hangi şartlarda, hangi sağlık verilerin ve ne kadar süreyle erişebilir ? Kaydedilen veya erişilen veri ne kadar süre ve nerelerde saklanabilir ? Veriler hangi amaçlarla kullanılabilir ? Bu kurallarla ilgili istisnâlar nelerdir ? Kurallara uyulmaması halinde cezaî müeyyideler nelerdir ? Cevap beklenen temel sorular... Mevzuat Çalışmasından Beklentiler

24 Hukuk kurallara dayalı, ancak bu konuda “kural koymak” kolay değil: Tıp, bir “SANAT”. Görecelik çok fazla. Hangi doktor, hangi veriye erişecek? Yoruma açık ifadeler, uygulamayı zorlaştırıyor Ödeme kurumları, ödeme için sağlık verisine muhtaç mı? Hukuk kurallara dayalıdır. Bilişim de öyle Mevzuat Çalışmasından Beklentiler

25 Kurallardaki uygulama zorlukları (devam): Hukukun ifade ettiği kurallar “GENEL” olmamalı “Hastanın rızası” (patient consent) “Somut gerekçeler” “Sağlık kurumları” Taraflardan beklenen farkındalık seviyesi çok yüksek (hasta hakları, hekim hakları...) Kurallar gerekleri pratik hayata aktarılabilmeli (yazılı rıza, e-imza, e-kimlik kartı) Her hukuk kuralı uygulan(a)maz. Bilişimde de öyle Mevzuat Çalışmasından Beklentiler

26 TEŞEKKÜRLER Sorular...


"SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı 26-28 MART 2008 Kızılcahamam." indir ppt

Benzer bir sunumlar


Google Reklamları