Presentation Louise Kihlström Utvecklare/Informationssäkerhetssamordnare Kvalitet- och säkerhetsavdelningen Landstinget Halland Lars-Erik Sjöberg Systemingenjör IT-avdelningen
Landstinget Halland 7500 medarbetare 35 vårdcentraler 2 akutsjukhus 1 närsjukhus 8 ambulansstationer 20 folktandvårdskliniker 7300 arbetsstationer 300 servrar
Organisationsschema för Landstinget Halland
Informationssäkerhet Administrativ säkerhet Teknisk säkerhet - Policy - Regelverk inkl rutiner - Övervakning och kontroll - Revision och uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikations-säkerhet
Vad är informationssäkerhet? Tillgänglighet Riktighet korrekthet spårbarhet Sekretess
Hur uppnår man säkerhet? Verksamheten styr nivån på skyddet VAD Riskanalys - Vem/vad är hotet? Policy/riktlinjer Organisation Skyddsåtgärder Kontrollsystem HUR Teknisk arkitektur Säkerhetsprocess Införa lösningar Utbildning Kontinuitet Kontrollera och verifiera
Informationsägare Lagar Nämnder och styrelser Tryckfrihetsförordningen Patientdatalagen Personuppgiftslagen Kommunal redovisningslag Nämnder och styrelser Verksamhetsansvaret
Personuppgiftsansvarig Nämnder och styrelser Personuppgiftsombud Personuppgiftsbiträde
Information, informationsklassning och säkerhetsnivåer Information, exempel Patienthandlingar Personalhandlingar Ekonomihandlingar Administrativa handlingar Informationsklassning Klassningsmodell Information: Riktighet, Tillgänglighet direkt, Tillgänglighet över tid, Sekretess, Spårbarhet Konsekvenser: Mindre känsliga personuppgifter (L), Känsliga personuppgifter (Allvarlig), Mycket känsliga personuppgifter (Mycket allvarlig) Protokoll
Information, informationsklassning och säkerhetsnivåer Grund - exempel Avvikelser E-post Budget/Bokslut Beställningar Hög - exempel Avtal Bokföring/fakturor Lönebeslut Patientadministrativ information Mycket hög - exempel Patientjournaler Pensionshandlingar Medarbetarsamtal Säkerhetskopior Omklassificering Riskanalyser
Hantering av information efter informationsklassning Elektronisk information Server i nätverk Bärbar persondator Externa minnen: USB, CD, DVD m m Elektronisk kommunikation Inom landstingets nät Externt via landstingets nät Trådlös kommunikation Radiokommunikation Papper, band, film m m
Verksamhetskritiska system Patient Ekonomi Personal E-post Meddelandesystem Recept - apoteket Remisser/remissvar Labb, röntgen Filflytt
Åtkomst- och behörighetsmodell Nätverk Brandvägg Förutbestämda funktioner eller personer Resurser Behörighetssystem AnvändarID, lösenord, användaren registrerad i AD Juridisk accessrätt Juridiskt behörighetssystem Skydda patientuppgifter
Åtkomst- och behörighetsmodell Rutin Blanketter Behovs och riskanalyser Nyanställning Åter efter frånvaro Förändringar Avslutad anställning
Lagar och lagefterlevnad Lagar - exempel Tryckfrihetsförordningen Patientdatalagen Arkivlagen Personuppgiftslagen Sekretesslagen Säkerhetsskyddslagen Lagefterlevnad Modell för kontroll
Patientdatalagen – SFS 2008:355 Informationssäkerhetspolicy Journal = informationsbärare Behöver information/deltar i vården Behörighetstilldelning Sammanhållen journalföring Direktåtkomst Samtycke Kvalitetsregister Enskild kan motsätta sig Spärra uppgifter Inte inom en vårdprocess Loggning och loggkontroller Logglista Enskild direktåtkomst Via internet på sikt
Rutiner - exempel Introduktion till informationssäkerhet - sammanfattning – vid nyanställning Behörigheter och åtkomst Lagring/Bibliotek/Mappar Loggning och loggkontroller Distansarbete Städat skrivbord på datorn Låsa dator / skärmsläckare Kassering/försäljning/donation av utrustning E –post Funktionsbrevlåda Internet Faxöverföring Personuppgifter Externa minnen Journalföring Journalutlämning Journalutlämning till polisen Journalsignering Sekretess och samtycke
Samverkan Verksamheten IT-avdelningen Avtal Ställer krav på IT-säkerhet IT-avdelningen Verkställer verksamhetens krav Avtal Service level agreement - Tjänstenivåöverenskommelse Vem ansvarar för och gör vad/Gränssnitt
Standarder ISO 27001 Ledningssystem för informationssäkerhet ISO 20000 Ledningssystem för leverans av it-tjänster Certifikat ISO 27001
Typ av angripare - Vill skada er kan vara en anställd Den dumme - Vet ej om ert företag - Skriver ett virus som drabbar miljoner - Hackar de datorer som har sämst skydd Den elake - Vill skada er kan vara en anställd - Skapar elakt program som placeras hos er - Väntar till ett säkerhetshål blir känt Den Rike - Har mycket pengar och vill åt ert företag - Lägger in hål i kända program
Symantec Global Internet Security Threat Report
Enkel incidenthantering i 6 steg. 1. Upptäcka Har du blivit utsatt för ett angrepp? Eller är det ett handhavandefel som orsakat problemet? Ligger problemet här, egentligen? 2. Avbryta Om det rör sig om ett angrepp –minimera skadan. Det kan vara att stänga en port i brandväggen eller koppla ur en server. 3. Analysera Ta reda på hur angreppet gick till. Gå igenom loggar från servrar, brandväggar och routrar för att hitta och granska den onda koden. 4. Spåra Inuti den onda koden finns ofta ledtrådar som kan visa med vilka andra system den kommunicerar. Genom analys av kommunikationskanalerna finns det goda möjligheter att göra gissningar om vilka som ligger bakom angreppet. 5. Återställa Systemet ska ju upp igen, helst med all ursprunglig data, men utan tidigare sårbarheter. Utan att veta via steg 3 och kanske 4, vad som hänt, är risken stor att man tar upp system i ett sårbart skick igen 6. Förhindra I det ideala fallet lär man sig så mycket vid en incident, att man vet hur man skyddar sig mot både samma och liknande angrepp efteråt. En viktig del i detta steg är att sammanställa hur incidenten hanterades och lära sig av bra och dåliga grepp.