Presentation Louise Kihlström

Slides:



Advertisements
Liknande presentationer
Provsvar om hudcancer blev liggande i fyra månader
Advertisements

Ett steg in och en ny start Statliga myndigheters skydd mot korruption
Dagar om lagar, Göteborg
Magnus Ivarsson Kvalitetssamordnare
Hugo Pettersson & Sara Bodin
En bild av debatten Vårdskandaler Vinster
Checklista för jurister
Basic Security (Grundläggande säkerhet) Methods Of Attack (Attackmetoder)
En introduktion till Datakommunikation och Säkerhetstänkande
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Mjukvara och nätverk Vad är det?.
Landstinget i Östergötland
Informationssäkerhet i Katrineholms kommun
Juridik och beslutsstöd - vad gäller?
Nyttobeskrivning för pågående gemensamma IT-insatser i VG
En introduktion till Datakommunikation och Säkerhetstänkande
Informationssäkerhet Helsingborgs lasarett
Västra Götalandsregionen PDL
Checklista Identitetshanteringssystem för SWAMID 2.0
Slutbetänkande – Rätt information på rätt plats i rätt tid
Frågor och svar Att ta del av, använda och utbyta uppgifter i hälso- och sjukvård och socialtjänst Presentationen ingår i utredningens delredovisning.
Kan patienter ta ansvar för e-tjänster som erbjuds?
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
OPERATIVSYSTEM OCH PRAKTISK LINUX Föreläsning 9 – Vecka
Informationssäkerhet - en översikt
Lektion 3 Mahmud Al Hakim
Modell för Utveckling av ledningssystem
”Patientdatalagen, journaler på nätet, sociala medier – lagar och regler” Jens Larsson, Jens Larsson, Chefsjurist.
Öppen diskussion angående stöd för PDL Av: Thomas Engdahl.
Ändra till startrubrik
De 6 största hoten mot din PC. 1. Datorns skydd är för dåligt Kolla virusskyddet Kör fullständig virusgranskning emellanåt Ha en endast ETT virusskydd.
Säkerhetschef/informationssäkerhetschef
IT-säkerhet Gästföreläsning av Christian Ohlsson 2011.
© Anders Ingeborn IT-säkerhetsprojekt Vinnande strategier.
© Anders Ingeborn, Infosec 2000 Penetrationstester Att bryta sig in i andras datorer.
Ny patientdatalag Patientdatalagen Region Skåne kommer med information SoS kommer med föreskrifter SoS ska ge ut en handbok.
Säkerhet.
Inger Offesson Persson
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Om HSA och HSA-ansvarigs roll
LEAN Historia. Lean har sina rötter i Japansk industri och det man främst då tänker på är Toyota som på 1930-talet började att tillverka bilar. Andra världskriget.
Journaldokumentation  Lagar  Föreskrifter  Definitioner.
Kunskap till Praktik Patientdatalag (2008:355) Sanna Othman – Landstingsjurist JLL.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Välkommen! Denna presentation handlar om de tre lagarna: Upphovsrätten, Personuppgiftslagen och Offentlighets- och sekretesslagen. Korta exempel på vad.
Datasäkerhet 1.Skydda informationen – Ändra, förstöras eller kopieras 2.Säkerställa driften – Se till att program, datorer, servrar, nätverk och kommunikation.
1 Forskningsetik Claes Corlin. 2 Etiska dimensioner FORSKARETIK Forskarens egen moral Hederlighet Ej plagiat Öppenhet Redovisa källor Andra kan pröva.
Information inför Office 365
Vad är informationssäkerhet?
Avvikelsehantering En säker verksamhet = en säker arbetsmiljö!
Vägledning 5 steg för att följa Dataskyddsförordningen
Datorer och nätverk.
Bedömningsuppgift 3.
Säkerhet - Vad ni kan göra
Införande av blodsamverkan
Utbildning TVS Region Norrbotten
Säkerhet i en digitaliserad värld
Dataskyddsförordn ing GDPR- ny lag som gäller
Utbildning TVS Region Norrbotten
I offentlighetens tjänst
Ledningens genomgång: Informationssäkerhet mall kortversion – underlag i annat underlag Datum 2018-XX-XX.
Datorer och nätverk.
Syfte med avvikelse- och lex-hantering
Dataskyddsutbildning för avdelningar 2018
Hantering av personuppgifter i BOU december 2018
Allmänna dataskyddsförordningen
Utbildningsmaterial Uthopp från SAMSA till Nationell patientöversikt
Effekterna i SWAMID av Dataskyddsförordningen
Presentationens avskrift:

Presentation Louise Kihlström Utvecklare/Informationssäkerhetssamordnare Kvalitet- och säkerhetsavdelningen Landstinget Halland Lars-Erik Sjöberg Systemingenjör IT-avdelningen

Landstinget Halland 7500 medarbetare 35 vårdcentraler 2 akutsjukhus 1 närsjukhus 8 ambulansstationer 20 folktandvårdskliniker 7300 arbetsstationer 300 servrar

Organisationsschema för Landstinget Halland

Informationssäkerhet Administrativ säkerhet Teknisk säkerhet - Policy - Regelverk inkl rutiner - Övervakning och kontroll - Revision och uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikations-säkerhet

Vad är informationssäkerhet? Tillgänglighet Riktighet korrekthet spårbarhet Sekretess

Hur uppnår man säkerhet? Verksamheten styr nivån på skyddet VAD Riskanalys - Vem/vad är hotet? Policy/riktlinjer Organisation Skyddsåtgärder Kontrollsystem HUR Teknisk arkitektur Säkerhetsprocess Införa lösningar Utbildning Kontinuitet Kontrollera och verifiera

Informationsägare Lagar Nämnder och styrelser Tryckfrihetsförordningen Patientdatalagen Personuppgiftslagen Kommunal redovisningslag Nämnder och styrelser Verksamhetsansvaret

Personuppgiftsansvarig Nämnder och styrelser Personuppgiftsombud Personuppgiftsbiträde

Information, informationsklassning och säkerhetsnivåer Information, exempel Patienthandlingar Personalhandlingar Ekonomihandlingar Administrativa handlingar Informationsklassning Klassningsmodell Information: Riktighet, Tillgänglighet direkt, Tillgänglighet över tid, Sekretess, Spårbarhet Konsekvenser: Mindre känsliga personuppgifter (L), Känsliga personuppgifter (Allvarlig), Mycket känsliga personuppgifter (Mycket allvarlig) Protokoll

Information, informationsklassning och säkerhetsnivåer Grund - exempel Avvikelser E-post Budget/Bokslut Beställningar Hög - exempel Avtal Bokföring/fakturor Lönebeslut Patientadministrativ information Mycket hög - exempel Patientjournaler Pensionshandlingar Medarbetarsamtal Säkerhetskopior Omklassificering Riskanalyser

Hantering av information efter informationsklassning Elektronisk information Server i nätverk Bärbar persondator Externa minnen: USB, CD, DVD m m Elektronisk kommunikation Inom landstingets nät Externt via landstingets nät Trådlös kommunikation Radiokommunikation Papper, band, film m m

Verksamhetskritiska system Patient Ekonomi Personal E-post Meddelandesystem Recept - apoteket Remisser/remissvar Labb, röntgen Filflytt

Åtkomst- och behörighetsmodell Nätverk Brandvägg Förutbestämda funktioner eller personer Resurser Behörighetssystem AnvändarID, lösenord, användaren registrerad i AD Juridisk accessrätt Juridiskt behörighetssystem Skydda patientuppgifter

Åtkomst- och behörighetsmodell Rutin Blanketter Behovs och riskanalyser Nyanställning Åter efter frånvaro Förändringar Avslutad anställning

Lagar och lagefterlevnad Lagar - exempel Tryckfrihetsförordningen Patientdatalagen Arkivlagen Personuppgiftslagen Sekretesslagen Säkerhetsskyddslagen Lagefterlevnad Modell för kontroll

Patientdatalagen – SFS 2008:355 Informationssäkerhetspolicy Journal = informationsbärare Behöver information/deltar i vården Behörighetstilldelning Sammanhållen journalföring Direktåtkomst Samtycke Kvalitetsregister Enskild kan motsätta sig Spärra uppgifter Inte inom en vårdprocess Loggning och loggkontroller Logglista Enskild direktåtkomst Via internet på sikt

Rutiner - exempel Introduktion till informationssäkerhet - sammanfattning – vid nyanställning Behörigheter och åtkomst Lagring/Bibliotek/Mappar Loggning och loggkontroller Distansarbete Städat skrivbord på datorn Låsa dator / skärmsläckare Kassering/försäljning/donation av utrustning E –post Funktionsbrevlåda Internet Faxöverföring Personuppgifter Externa minnen Journalföring Journalutlämning Journalutlämning till polisen Journalsignering Sekretess och samtycke

Samverkan Verksamheten IT-avdelningen Avtal Ställer krav på IT-säkerhet IT-avdelningen Verkställer verksamhetens krav Avtal Service level agreement - Tjänstenivåöverenskommelse Vem ansvarar för och gör vad/Gränssnitt

Standarder ISO 27001 Ledningssystem för informationssäkerhet ISO 20000 Ledningssystem för leverans av it-tjänster Certifikat ISO 27001

Typ av angripare - Vill skada er kan vara en anställd Den dumme - Vet ej om ert företag - Skriver ett virus som drabbar miljoner - Hackar de datorer som har sämst skydd Den elake - Vill skada er kan vara en anställd - Skapar elakt program som placeras hos er - Väntar till ett säkerhetshål blir känt Den Rike - Har mycket pengar och vill åt ert företag - Lägger in hål i kända program

Symantec Global Internet Security Threat Report

Enkel incidenthantering i 6 steg. 1. Upptäcka Har du blivit utsatt för ett angrepp? Eller är det ett handhavandefel som orsakat problemet? Ligger problemet här, egentligen? 2. Avbryta Om det rör sig om ett angrepp –minimera skadan. Det kan vara att stänga en port i brandväggen eller koppla ur en server. 3. Analysera Ta reda på hur angreppet gick till. Gå igenom loggar från servrar, brandväggar och routrar för att hitta och granska den onda koden. 4. Spåra Inuti den onda koden finns ofta ledtrådar som kan visa med vilka andra system den kommunicerar. Genom analys av kommunikationskanalerna finns det goda möjligheter att göra gissningar om vilka som ligger bakom angreppet. 5. Återställa Systemet ska ju upp igen, helst med all ursprunglig data, men utan tidigare sårbarheter. Utan att veta via steg 3 och kanske 4, vad som hänt, är risken stor att man tar upp system i ett sårbart skick igen 6. Förhindra I det ideala fallet lär man sig så mycket vid en incident, att man vet hur man skyddar sig mot både samma och liknande angrepp efteråt. En viktig del i detta steg är att sammanställa hur incidenten hanterades och lära sig av bra och dåliga grepp.