VERİ ve AĞ GÜVENLİK POLİTİKASI

Slides:



Advertisements
Benzer bir sunumlar
GÜNDEM Neden YeniKart? Nedir YeniKart? Nasıl ve Nerelerde Kullanılır?
Advertisements

TEHLİKELİ ATIK BEYAN SİSTEMİ (TABS)
Elektronik Haberleşme Sektöründe Kişisel Verilerin Korunması
HUKUKİ YÖNLERİYLE ELEKTRONİK SERTİFİKA
E-SAĞLIK VERİLERİ VE ADLİ BİLİŞİM
Bilgi İşlem Dairesi Başkanlığı
Bilgi Güvenliği Farkındalık Eğitimi
Stratejik yönetim işletmenin dış çevresini (rakipler, pazar-piyasa, ürünler, müşteriler, aracılar, tedarikçiler) analiz eder. İşletmenin geleceği ile.
İŞ SAĞLIĞI VE GÜVENLİĞİ KAYIT TAKİP VE İZLEME PROGRAMI
BİLGİ GÜVENLİK TALİMATI
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.
Türkiye’de e-sağlığın hukuki çerçevesi
BİLGİ GÜVENLİĞİ.
Defterdarlıklar İç Kontrol Eğitimi 10 Mart-27 Nisan 2013
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
Tedavi Hizmetleri Genel Müdürlüğü
KAMUDA İÇ KONTROL SİSTEMLERİ VE DEĞERLENDİRİLMESİ
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
HAZİNE MÜSTEŞARLIĞI BİLGİ GÜVENLİĞİ YOL HARİTASI
Bilgi Güvenliği Şubesi
HASTA ODAKLI KALİTE YÖNETİM STANDARTLARI VE HİZMET KALİTE STANDARTLARI İLİŞKİSİ Yrd. Doç. Dr. Ufuk Cebeci İTÜ Sağlık İşletmeleri Sertifika Program Koordinatörü.
İNTERNET VE AĞ GÜVENLİĞİ
Hasta Hakları.
KONTROL FAALİYETLERİ Defterdarlık İç Kontrol Eğitimi 10 Mart-27 Nisan 2013 Strateji Geliştirme Başkanlığı.
T.C. OKAN ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ SAĞLIK YÖNETİMİ YÜKSEKLİSANS 1.PROGRAM SAĞLIK HUKUKU ÖDEVİ-II HAZIRLAYAN Dr Beytullah ŞAHİN AKADEMİK DANIŞMAN.
BİLGİ İŞLEM DAİRE BAŞKANLIĞI. MEVZUAT Sunulan Hizmetlerin Dayanağı: 180 Sayılı BAYINDIRLIK VE İSKAN BAKANLIĞININ TEŞKİLAT VE GÖREVLERİ HAKKINDA KANUN.
Bilgisayar Sistemleri Güvenliği
BİLİŞİM TEKNOLOJİLERİ
YONT171 Bilgi Teknolojilerine Giriş I
YONT171 Bilgi Teknolojilerine Giriş I
BİLGİ GÜVENLİĞİ.
Bilgi Teknolojisinin Temel Kavramları
Kurumsal Yönetimde İç Denetimin Geleceği Esra Aydın
LOGO EJDER ORUÇ Teknik Düzenleme ve Standardizasyon Dairesi Başkanı.
Bilgi Güvenliği Hukuksal Süreçler
Sertaç ATEŞ Bilişim Teknolojileri Öğretmeni Gürçeşme Anadolu Lisesi
Bilgisayar ve Veri Güvenliği
HASTA HAKLARI ve SORUMLULUKLARI
İŞ GÜVENLİĞİ UYGULAMALARINDA YÖNETİM SİSTEMLERİNİN ENTEGRASYONU
Sertaç Çelikyılmaz Genel Müdür Elektronik Bilgi Güvenliği A.Ş. Türkiye’de Kurumlar İçin e-Güven Altyapısı 07 Ekim 2004, İstanbul Eczacıbaşı Holding.
MESLEK ETİĞİ Öğr. Gör. Alev UYSAL.
1 20 EKİM 2004, ANKARA T. Uzm. Deniz YANIK Lisans ve Sözleşmeler Dairesi Başkanlığı TELEKOMÜNİKASYON KURUMU TÜRKİYE’DE TELEKOMÜNİKASYON POLİTİKASI ALANINDA.
Türk Hava Kurumu Üniversitesi
Kritik Finansal Sistemlerde Yazılım Değişiklik ve Takip Yönetim Sistemi Mehmet Vacit BAYDARMAN BİLGİ TEKNOLOJİLERİ.
Ağ ve Sistem Güvenliği’nde Yaygın Problemler
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
Bilişim Suçlarıyla İlgili Mevzuat 3- BM Kararları.
Elektronik Belge Yönetim Sistemi ve Elektronik İmza Kasım 2015 Elektronik Belge Yönetim Sistemi Proje Sorumlusu Cumali YAŞAR.
Bekir Sami NALBANTOĞLU
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
SAĞLIK NET GÖNDERİMİ İÇİN HEKİMLERİN YAPMASI GEREKENLER
E-İMZA.
Bilgisayar Ağlarında Güvenlik
İNSAN HAKLARININ TARİHSEL SÜRECİ Prof. Dr. Ayten DEMİR
Bilgi Yönetiminde Kullanıcı Faktörü
BT Denetim, güvenlİk ve DanIşmanlIk
Active Directory.
BİLGİ GÜVENLİĞİ. Bilgi güvenliği elektronik ortamda kaydetmiş olduğumuz bilgilerimizin güvenli olması anlamında önemlidir. Elektronik ortamdaki bilgilerimizin.
Kişisel Güvenlik. Kişisel veriler, kişinin kimlik yapısını ortaya koyan ve kişiye özel bilgiler olarak tanımlanabilir. Bu yüzden kişisel veriler ve kişisel.
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
SİBER GÜVENLİK ve KRİPTOLOJİ. Asım Emre Kaya Ülkelerin altyapı sistemlerinin siber uzaya bağımlı hale gelmesi ile; -bireyler -kurumlar -devletler siber.
ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
Kullanıcıların Bilgilendirilmesi
“Gizlilik, Bireysel Haklar, Kişisel Verilerin Korunması”
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
SİBER GÜVENLİK BÖLÜM 6.
HASTA HAKLARI H GAMZE DEMİRTEPE EĞİTİM HEMŞİRESİ.
SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI
Sunum transkripti:

VERİ ve AĞ GÜVENLİK POLİTİKASI SAĞLIK BAKANLIĞI VERİ ve AĞ GÜVENLİK POLİTİKASI 26-28 MART 2008 Kızılcahamam İlker KÖSE Bilgi Sistemleri Danışmanı Sağlık Bakanlığı

Sağlık Bakanlığı Veri ve Ağ Güvenlik Politikası 1 Bilişimde Güvenlik Kavramı 2 Risk Analizi 3 Güvenlik Politikası 4 Sağlık Bakanlığı Güvenlik Politikası 5 5 Mevzuat Çalışmasından Beklentiler

Bilişimde Güvenlik Kavramı Güvenlik bir “KAVRAM”dır “Mutlak gizlilikle” güvenlik sağlanmaz “security by obscurity” Risk varsa güvenlik zorunludur Güvenlik, kısmî olamaz, az güvenli sistem olmaz Güvenliğin varlığı, risklere göre değerlendirilir (görecelidir)

Bilişimde Güvenlik Kavramı Güvenliğin Unsurları Güvenlik saldırısı: Bir kuruluşun bilgi güvenliği saygınlığını azaltır. Engelleme, dinleme, değiştirme ve yeniden oluşturma olarak 4 sınıf saldırı vardır. Güvenlik Mekanizması: Bir güvenlik atağının anlaşılması, korunma veya onarımdır. Güvenlik Servisi: Veri işleme sistemi ve kuruluşun bilgi iletim sisteminin güvenliğini artırma servisidir. Servis, güvenlik saldırılarını engeller ve çeşitli güvenlik mekanizması kullanır.

Bilişimde Güvenlik Kavramı Veri ve ağ yönetimi

Bilişimde Güvenlik Kavramı Güvenli Sistemin Özellikleri Gizlilik (pasif saldırılara karşı) Yekilendirme Bütünlük İnkar edilememe Erişim denetimi Kullanıma hazırlık

Bilişimde Güvenlik Kavramı Korunacak varlıkları belirle Riskleri ve saldırı yöntemlerini analiz et Korunma yöntemlerini ve maliyetleri tespit et Güvenlik politikasını belirle Politikanın uygulanması denetle Politikayı, gerektikçe güncelle Risk yoksa güvenliğe gerek yok!

Risk Analizi Analiz nasıl yapılır? Ne tür varlıkları korumak gereklidir. Bu varlıkları nelerden korumalıyız. Ağa kim tehlikeli saldırı yapabilir ve ne kazanabilir. Bir tehdidin varlıklarımızı bozma olasılığı ne kadardır. Eğer bir tehlikeli saldırı olursa bunun ivedi maliyeti ne olacaktır. Bir atak veya bozulmanın geri kazanma maliyeti ne olacaktır. Bu varlıklar, etkin maliyet ile nasıl korunabilir.

Risk Analizi Risk yoksa güvenliğe gerek yok Korunacak varlıklar Veriler Gizlilik Bütünlük Kullanıma hazırlık Kaynaklar Zaman Saygınlık

Risk Analizi Saldırı türleri Süreçsel saldırılar Engelleme Dinleme Değiştirme Oluşturma

Risk Analizi Saldırı türleri İşlemsel saldırılar

Risk Analizi Saldırganlar belirlenir Saldırganlar Araçlar Erişim Sonuç Amaç Bilgisayar korsanları Kullanıcı komutları Sistem zayıflıkları Bilgi bozma Politik kazanç Casuslar Komut dosyası veyaprogram Tasarım zayıflıkları Bilgi çalma ya da açığa çıkarma Finansal kazanç Teröristler Araç takımı Hizmet çalma Politik kazanç, zevk Meraklılar Dağıtık araçlar İzinsiz erişim Hizmet önleme, hizmetten yararlanma Sosyal statüye meydan okuma Profesyonel suçlular Veri dinleyici sistemler Politik, finansal kazanç

Risk Analizi Risklere karşı üç temel seçim vardır Kabul: Eğer korunmasızlık çok küçük boyutlarda ve onu koruma altına almak büyük maliyet getiriyorsa, politikanız bu riskleri kabul edebilir. Devretme: Bazı durumlarda riske karşı direk olarak koruma almaktansa onun için birini (kişi, kurum, firma) görevlendirmek. Kaçınma: Güvenlik olaylarının neredeyse hiç olmayacağı yerleri korumaya almak maliyet getireceğinden bundan kaçınılmalıdır.

Risk Analizi Dengeli maliyet. Saygınlığın maliyeti !

Kullanıcı sözleşmeleri Güvenlik Politikası Güvenlik Politikası: “Bilişimin güvenlik kanunu” Kullanıcı sözleşmeleri Kanunlar Prosedürler Güvenlik Politikası

Güvenlik Politikası İyi bir Güvenlik Politikası nasıldır? Uygulanabilir olmalıdır Paydaşlar tarafından kolaylıkla erişilebilmelidir. Güvenlik hedefleri açıkça tanımlamalıdır. Politikada açıklanan konular doğru bir şekilde tanımlanmalıdır. Kuruluşun konumunu açıkça göstermelidir. Politikanın savunmasını yapılmalıdır. Politikanın ugulanma koşulları açıklamalıdır.

Sağlık Bakanlığı Güvenlik Politikası Başbakanlık “Bilgi Sistem ve Ağları İçin Güvenlik Kültürü” konulu 2003/10 sayılı Genelgesi doğrultusunda; Sağlık Bakanlığı “Bilgi Güvenliği Politikası” 07 Ekim 2005 tarihinde tüm kurumlarımıza gönderilmiştir. Bilgi ve iletişim teknolojilerin gelişimi doğrultusunda “Bilgi Güvenliği Politikaları” güncellenmiş ve 17 Eylül 2007 tarihinde tüm kurumlarımıza gönderilmiştir. Çalışanlar için Bilgi Güvenliği Politikası Yöneticiler için Bilgi Güvenliği Politikası

Sağlık Bakanlığı Güvenlik Politikası Çalışanlar için Bilgi Güvenliği Politikası E-Posta Politikası Şifre Politikası Anti-virus politikası Ağ Yönetim Politikası İnternet Kullanım Politikası Genel Kullanım Politikası Toplam 6 ana başlıktan oluşmaktadır.

Sağlık Bakanlığı Güvenlik Politikası Yöneticiler için Bilgi Güvenliği Politikası E-Posta Politikası Şifre Politikası Ağ Yönetim Politikası İnternet Erişim ve Kullanım Politikası Yazılım Geliştirme Kimlik doğrulama ve Yetkilendirme Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası … Toplam 28 ana başlıktan oluşmaktadır.

Sağlık Bakanlığı Güvenlik Politikası Kişisel Sağlık Kayıtlarının Güvenliği Politikası Sağlık kayıt bilgileri hastaya aittir. Yetkilendirilmiş çalışanlar (hastanın tedavisinden sorumlu sağlık personeli) ancak kendisine kayıtlı olan hastaların sağlık kayıtlarına erişebilmelidirler. Ancak hastanın yazılı onayı ile diğer sağlık çalışanları bu veriye erişebilirler. Kurumda kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin hastanın sağlık kayıtlarına erişmesi mümkün olmamalıdır. Hastanın rızası olmadan hiçbir çalışan yazılı veya sözlü olarak hasta sağlık bilgilerini hastanın yakınları dışında üçüncü şahıslara ve kurumlara iletemez. Kurum, kritik bilgiye erişim hakkı olan çalışanlar ve firmalar ile gizlilik anlaşması imzalamalıdır ...

Mevzuat Çalışmasından Beklentiler Bilişimin kendi “kanunları” zaten var Güvenlik sertifikaları Güvenlik standartları Kurumsal güvenlik politikaları Bilişim güvenliği sektörü Bilişim güvenliği araçları ... Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

Mevzuat Çalışmasından Beklentiler Bilişim gerekli teknik altapıya da sahip E-imza Veri standartları (USVS, MSVS, SKRS...) Haberleşme standartları (HL7, IHE, IDE...) Şifreleme standartları (SSL...) Veritabanı ve sistem yönetim standartları ... Yeter ki, hukuk “taraflarca uygulanabilir bir yol” çizsin

Mevzuat Çalışmasından Beklentiler Cevap beklenen temel sorular... Kişisel sağlık verisi nedir? Sağlık verisi sınıflandırılabilir mi? Kimler, hangi şartlarda, hangi sağlık verilerin ve ne kadar süreyle erişebilir? Kaydedilen veya erişilen veri ne kadar süre ve nerelerde saklanabilir? Veriler hangi amaçlarla kullanılabilir? Bu kurallarla ilgili istisnâlar nelerdir? Kurallara uyulmaması halinde cezaî müeyyideler nelerdir?

Mevzuat Çalışmasından Beklentiler Hukuk kurallara dayalıdır. Bilişim de öyle Hukuk kurallara dayalı, ancak bu konuda “kural koymak” kolay değil: Tıp, bir “SANAT”. Görecelik çok fazla. Hangi doktor, hangi veriye erişecek? Yoruma açık ifadeler, uygulamayı zorlaştırıyor Ödeme kurumları, ödeme için sağlık verisine muhtaç mı?

Mevzuat Çalışmasından Beklentiler Her hukuk kuralı uygulan(a)maz. Bilişimde de öyle  Kurallardaki uygulama zorlukları (devam): Hukukun ifade ettiği kurallar “GENEL” olmamalı “Hastanın rızası” (patient consent) “Somut gerekçeler” “Sağlık kurumları” Taraflardan beklenen farkındalık seviyesi çok yüksek (hasta hakları, hekim hakları...) Kurallar gerekleri pratik hayata aktarılabilmeli (yazılı rıza, e-imza, e-kimlik kartı)

TEŞEKKÜRLER Sorular...

Geri bildirim: Gizlilik Politikası Geri bildirim
Proje hakkında: SlidePlayer Kullanım şartları

© 2024 SlidePlayer.biz.tr Inc. All rights reserved.