Presentation laddar. Vänta.

Presentation laddar. Vänta.

Presentation Louise Kihlström

Publicerades avSebastian Lindberg

Liknande presentationer

En presentation över ämnet: "Presentation Louise Kihlström"— Presentationens avskrift:

1 Presentation Louise Kihlström
Utvecklare/Informationssäkerhetssamordnare Kvalitet- och säkerhetsavdelningen Landstinget Halland Lars-Erik Sjöberg Systemingenjör IT-avdelningen

2 Landstinget Halland 7500 medarbetare 35 vårdcentraler 2 akutsjukhus
1 närsjukhus 8 ambulansstationer 20 folktandvårdskliniker 7300 arbetsstationer 300 servrar

3 Organisationsschema för Landstinget Halland

4 Informationssäkerhet
Administrativ säkerhet Teknisk säkerhet - Policy - Regelverk inkl rutiner - Övervakning och kontroll - Revision och uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikations-säkerhet

5 Vad är informationssäkerhet?
Tillgänglighet Riktighet korrekthet spårbarhet Sekretess

6 Hur uppnår man säkerhet?
Verksamheten styr nivån på skyddet VAD Riskanalys - Vem/vad är hotet? Policy/riktlinjer Organisation Skyddsåtgärder Kontrollsystem HUR Teknisk arkitektur Säkerhetsprocess Införa lösningar Utbildning Kontinuitet Kontrollera och verifiera

7 Informationsägare Lagar Nämnder och styrelser Tryckfrihetsförordningen
Patientdatalagen Personuppgiftslagen Kommunal redovisningslag Nämnder och styrelser Verksamhetsansvaret

8 Personuppgiftsansvarig
Nämnder och styrelser Personuppgiftsombud Personuppgiftsbiträde

9 Information, informationsklassning och säkerhetsnivåer
Information, exempel Patienthandlingar Personalhandlingar Ekonomihandlingar Administrativa handlingar Informationsklassning Klassningsmodell Information: Riktighet, Tillgänglighet direkt, Tillgänglighet över tid, Sekretess, Spårbarhet Konsekvenser: Mindre känsliga personuppgifter (L), Känsliga personuppgifter (Allvarlig), Mycket känsliga personuppgifter (Mycket allvarlig) Protokoll

10 Information, informationsklassning och säkerhetsnivåer
Grund - exempel Avvikelser E-post Budget/Bokslut Beställningar Hög - exempel Avtal Bokföring/fakturor Lönebeslut Patientadministrativ information Mycket hög - exempel Patientjournaler Pensionshandlingar Medarbetarsamtal Säkerhetskopior Omklassificering Riskanalyser

11 Hantering av information efter informationsklassning
Elektronisk information Server i nätverk Bärbar persondator Externa minnen: USB, CD, DVD m m Elektronisk kommunikation Inom landstingets nät Externt via landstingets nät Trådlös kommunikation Radiokommunikation Papper, band, film m m

12 Verksamhetskritiska system
Patient Ekonomi Personal E-post Meddelandesystem Recept - apoteket Remisser/remissvar Labb, röntgen Filflytt

13 Åtkomst- och behörighetsmodell
Nätverk Brandvägg Förutbestämda funktioner eller personer Resurser Behörighetssystem AnvändarID, lösenord, användaren registrerad i AD Juridisk accessrätt Juridiskt behörighetssystem Skydda patientuppgifter

14 Åtkomst- och behörighetsmodell
Rutin Blanketter Behovs och riskanalyser Nyanställning Åter efter frånvaro Förändringar Avslutad anställning

15 Lagar och lagefterlevnad
Lagar - exempel Tryckfrihetsförordningen Patientdatalagen Arkivlagen Personuppgiftslagen Sekretesslagen Säkerhetsskyddslagen Lagefterlevnad Modell för kontroll

16 Patientdatalagen – SFS 2008:355
Informationssäkerhetspolicy Journal = informationsbärare Behöver information/deltar i vården Behörighetstilldelning Sammanhållen journalföring Direktåtkomst Samtycke Kvalitetsregister Enskild kan motsätta sig Spärra uppgifter Inte inom en vårdprocess Loggning och loggkontroller Logglista Enskild direktåtkomst Via internet på sikt

17 Rutiner - exempel Introduktion till informationssäkerhet - sammanfattning – vid nyanställning Behörigheter och åtkomst Lagring/Bibliotek/Mappar Loggning och loggkontroller Distansarbete Städat skrivbord på datorn Låsa dator / skärmsläckare Kassering/försäljning/donation av utrustning E –post Funktionsbrevlåda Internet Faxöverföring Personuppgifter Externa minnen Journalföring Journalutlämning Journalutlämning till polisen Journalsignering Sekretess och samtycke

18 Samverkan Verksamheten IT-avdelningen Avtal
Ställer krav på IT-säkerhet IT-avdelningen Verkställer verksamhetens krav Avtal Service level agreement - Tjänstenivåöverenskommelse Vem ansvarar för och gör vad/Gränssnitt

19 Standarder ISO 27001 Ledningssystem för informationssäkerhet
ISO Ledningssystem för leverans av it-tjänster Certifikat ISO 27001

20 Typ av angripare - Vill skada er kan vara en anställd Den dumme
- Vet ej om ert företag - Skriver ett virus som drabbar miljoner - Hackar de datorer som har sämst skydd Den elake - Vill skada er kan vara en anställd - Skapar elakt program som placeras hos er - Väntar till ett säkerhetshål blir känt Den Rike - Har mycket pengar och vill åt ert företag - Lägger in hål i kända program

21

22 Symantec Global Internet Security Threat Report

23 Enkel incidenthantering i 6 steg.
1. Upptäcka Har du blivit utsatt för ett angrepp? Eller är det ett handhavandefel som orsakat problemet? Ligger problemet här, egentligen? 2. Avbryta Om det rör sig om ett angrepp –minimera skadan. Det kan vara att stänga en port i brandväggen eller koppla ur en server. 3. Analysera Ta reda på hur angreppet gick till. Gå igenom loggar från servrar, brandväggar och routrar för att hitta och granska den onda koden. 4. Spåra Inuti den onda koden finns ofta ledtrådar som kan visa med vilka andra system den kommunicerar. Genom analys av kommunikationskanalerna finns det goda möjligheter att göra gissningar om vilka som ligger bakom angreppet. 5. Återställa Systemet ska ju upp igen, helst med all ursprunglig data, men utan tidigare sårbarheter. Utan att veta via steg 3 och kanske 4, vad som hänt, är risken stor att man tar upp system i ett sårbart skick igen 6. Förhindra I det ideala fallet lär man sig så mycket vid en incident, att man vet hur man skyddar sig mot både samma och liknande angrepp efteråt. En viktig del i detta steg är att sammanställa hur incidenten hanterades och lära sig av bra och dåliga grepp.

24

Ladda ner ppt "Presentation Louise Kihlström"

Liknande presentationer

Provsvar om hudcancer blev liggande i fyra månader

Provsvar om hudcancer blev liggande i fyra månader
Ett steg in och en ny start Statliga myndigheters skydd mot korruption

Ett steg in och en ny start Statliga myndigheters skydd mot korruption
Dagar om lagar, Göteborg

Dagar om lagar, Göteborg
Magnus Ivarsson Kvalitetssamordnare

Magnus Ivarsson Kvalitetssamordnare
Hugo Pettersson & Sara Bodin

Hugo Pettersson & Sara Bodin
En bild av debatten Vårdskandaler Vinster

En bild av debatten Vårdskandaler Vinster
Checklista för jurister

Checklista för jurister
Basic Security (Grundläggande säkerhet) Methods Of Attack (Attackmetoder)

Basic Security (Grundläggande säkerhet) Methods Of Attack (Attackmetoder)
En introduktion till Datakommunikation och Säkerhetstänkande

En introduktion till Datakommunikation och Säkerhetstänkande
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4

Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Mjukvara och nätverk Vad är det?.

Mjukvara och nätverk Vad är det?.
Landstinget i Östergötland

Landstinget i Östergötland
Informationssäkerhet i Katrineholms kommun

Informationssäkerhet i Katrineholms kommun
Juridik och beslutsstöd - vad gäller?

Juridik och beslutsstöd - vad gäller?
Nyttobeskrivning för pågående gemensamma IT-insatser i VG

Nyttobeskrivning för pågående gemensamma IT-insatser i VG
En introduktion till Datakommunikation och Säkerhetstänkande

En introduktion till Datakommunikation och Säkerhetstänkande
Informationssäkerhet Helsingborgs lasarett

Informationssäkerhet Helsingborgs lasarett
Västra Götalandsregionen PDL

Västra Götalandsregionen PDL
Checklista Identitetshanteringssystem för SWAMID 2.0

Checklista Identitetshanteringssystem för SWAMID 2.0
Slutbetänkande – Rätt information på rätt plats i rätt tid

Slutbetänkande – Rätt information på rätt plats i rätt tid

Liknande presentationer

Google-annonser