Presentation laddar. Vänta.

Presentation laddar. Vänta.

Presentation Louise Kihlström

Liknande presentationer


En presentation över ämnet: "Presentation Louise Kihlström"— Presentationens avskrift:

1 Presentation Louise Kihlström
Utvecklare/Informationssäkerhetssamordnare Kvalitet- och säkerhetsavdelningen Landstinget Halland Lars-Erik Sjöberg Systemingenjör IT-avdelningen

2 Landstinget Halland 7500 medarbetare 35 vårdcentraler 2 akutsjukhus
1 närsjukhus 8 ambulansstationer 20 folktandvårdskliniker 7300 arbetsstationer 300 servrar

3 Organisationsschema för Landstinget Halland

4 Informationssäkerhet
Administrativ säkerhet Teknisk säkerhet - Policy - Regelverk inkl rutiner - Övervakning och kontroll - Revision och uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikations-säkerhet

5 Vad är informationssäkerhet?
Tillgänglighet Riktighet korrekthet spårbarhet Sekretess

6 Hur uppnår man säkerhet?
Verksamheten styr nivån på skyddet VAD Riskanalys - Vem/vad är hotet? Policy/riktlinjer Organisation Skyddsåtgärder Kontrollsystem HUR Teknisk arkitektur Säkerhetsprocess Införa lösningar Utbildning Kontinuitet Kontrollera och verifiera

7 Informationsägare Lagar Nämnder och styrelser Tryckfrihetsförordningen
Patientdatalagen Personuppgiftslagen Kommunal redovisningslag Nämnder och styrelser Verksamhetsansvaret

8 Personuppgiftsansvarig
Nämnder och styrelser Personuppgiftsombud Personuppgiftsbiträde

9 Information, informationsklassning och säkerhetsnivåer
Information, exempel Patienthandlingar Personalhandlingar Ekonomihandlingar Administrativa handlingar Informationsklassning Klassningsmodell Information: Riktighet, Tillgänglighet direkt, Tillgänglighet över tid, Sekretess, Spårbarhet Konsekvenser: Mindre känsliga personuppgifter (L), Känsliga personuppgifter (Allvarlig), Mycket känsliga personuppgifter (Mycket allvarlig) Protokoll

10 Information, informationsklassning och säkerhetsnivåer
Grund - exempel Avvikelser E-post Budget/Bokslut Beställningar Hög - exempel Avtal Bokföring/fakturor Lönebeslut Patientadministrativ information Mycket hög - exempel Patientjournaler Pensionshandlingar Medarbetarsamtal Säkerhetskopior Omklassificering Riskanalyser

11 Hantering av information efter informationsklassning
Elektronisk information Server i nätverk Bärbar persondator Externa minnen: USB, CD, DVD m m Elektronisk kommunikation Inom landstingets nät Externt via landstingets nät Trådlös kommunikation Radiokommunikation Papper, band, film m m

12 Verksamhetskritiska system
Patient Ekonomi Personal E-post Meddelandesystem Recept - apoteket Remisser/remissvar Labb, röntgen Filflytt

13 Åtkomst- och behörighetsmodell
Nätverk Brandvägg Förutbestämda funktioner eller personer Resurser Behörighetssystem AnvändarID, lösenord, användaren registrerad i AD Juridisk accessrätt Juridiskt behörighetssystem Skydda patientuppgifter

14 Åtkomst- och behörighetsmodell
Rutin Blanketter Behovs och riskanalyser Nyanställning Åter efter frånvaro Förändringar Avslutad anställning

15 Lagar och lagefterlevnad
Lagar - exempel Tryckfrihetsförordningen Patientdatalagen Arkivlagen Personuppgiftslagen Sekretesslagen Säkerhetsskyddslagen Lagefterlevnad Modell för kontroll

16 Patientdatalagen – SFS 2008:355
Informationssäkerhetspolicy Journal = informationsbärare Behöver information/deltar i vården Behörighetstilldelning Sammanhållen journalföring Direktåtkomst Samtycke Kvalitetsregister Enskild kan motsätta sig Spärra uppgifter Inte inom en vårdprocess Loggning och loggkontroller Logglista Enskild direktåtkomst Via internet på sikt

17 Rutiner - exempel Introduktion till informationssäkerhet - sammanfattning – vid nyanställning Behörigheter och åtkomst Lagring/Bibliotek/Mappar Loggning och loggkontroller Distansarbete Städat skrivbord på datorn Låsa dator / skärmsläckare Kassering/försäljning/donation av utrustning E –post Funktionsbrevlåda Internet Faxöverföring Personuppgifter Externa minnen Journalföring Journalutlämning Journalutlämning till polisen Journalsignering Sekretess och samtycke

18 Samverkan Verksamheten IT-avdelningen Avtal
Ställer krav på IT-säkerhet IT-avdelningen Verkställer verksamhetens krav Avtal Service level agreement - Tjänstenivåöverenskommelse Vem ansvarar för och gör vad/Gränssnitt

19 Standarder ISO 27001 Ledningssystem för informationssäkerhet
ISO Ledningssystem för leverans av it-tjänster Certifikat ISO 27001

20 Typ av angripare - Vill skada er kan vara en anställd Den dumme
- Vet ej om ert företag - Skriver ett virus som drabbar miljoner - Hackar de datorer som har sämst skydd Den elake - Vill skada er kan vara en anställd - Skapar elakt program som placeras hos er - Väntar till ett säkerhetshål blir känt Den Rike - Har mycket pengar och vill åt ert företag - Lägger in hål i kända program

21

22 Symantec Global Internet Security Threat Report

23 Enkel incidenthantering i 6 steg.
1. Upptäcka Har du blivit utsatt för ett angrepp? Eller är det ett handhavandefel som orsakat problemet? Ligger problemet här, egentligen? 2. Avbryta Om det rör sig om ett angrepp –minimera skadan. Det kan vara att stänga en port i brandväggen eller koppla ur en server. 3. Analysera Ta reda på hur angreppet gick till. Gå igenom loggar från servrar, brandväggar och routrar för att hitta och granska den onda koden. 4. Spåra Inuti den onda koden finns ofta ledtrådar som kan visa med vilka andra system den kommunicerar. Genom analys av kommunikationskanalerna finns det goda möjligheter att göra gissningar om vilka som ligger bakom angreppet. 5. Återställa Systemet ska ju upp igen, helst med all ursprunglig data, men utan tidigare sårbarheter. Utan att veta via steg 3 och kanske 4, vad som hänt, är risken stor att man tar upp system i ett sårbart skick igen 6. Förhindra I det ideala fallet lär man sig så mycket vid en incident, att man vet hur man skyddar sig mot både samma och liknande angrepp efteråt. En viktig del i detta steg är att sammanställa hur incidenten hanterades och lära sig av bra och dåliga grepp.

24


Ladda ner ppt "Presentation Louise Kihlström"

Liknande presentationer


Google-annonser