SUVI

SISTEM UPRAVLJANJA VAROVANJA INFORMACIJ

Razvoj in uporaba informacijskih rešitev prinaša številne koristi za posameznike, za organizacije ter za širšo družbo. Vendar so s tem povezana tudi nekatera tveganja, ki se jim je mogoče v veliki meri izogniti z ustreznimi varnostnimi ukrepi in z odgovornim ravnanjem. Iz medijev pogosto izvemo za primere hekerskih vdorov, za škodo, ki so jo na informacijskih sistemih naredili virusi, in za zlorabe osebnih podatkov. Tako kot v fizičnem svetu, se tudi v digitalni resničnosti vsem nevarnostim ni mogoče izogniti, lahko pa bistveno zmanjšamo tveganje, da se grožnje uresničijo prav nam, in če se že, s preudarnimi ukrepi omejimo škodo, ki bi lahko nastala.

Skrb za zagotavljanje informacijske varnosti zato vključuje vse deležnike. NIJZ kot ponudnika rešitev eZdravje, podjetja, ki razvijajo in vzdržujejo informacijske rešitve v zdravstvu, izvajalce zdravstvenih storitev ter posamične uporabnike.

NIJZ je k reševanju varnostnih izzivov pristopil sistematično – z vzpostavitvijo sistema upravljanja varovanja informacij (SUVI). Proces načrtovanja in izvedbe SUVI je sestavljen iz več korakov. Ugotoviti je treba dejansko stanje, tveganja, ki smo jim izpostavljeni, ter določiti in na koncu tudi izvesti ukrepe za zmanjšanje teh tveganj na sprejemljivo raven. SUVI je kontinuiran proces, kar pomeni, da se redno pregleduje in posodablja.

SUVI prinaša organizacijam več koristi: poveča se zavedanje o tveganjih in grožnjah, ki so povezane z varovanjem informacij, premisli se o ukrepih, ki bi jih bilo treba izvesti, vzpostavi se sistem poročanja incidentov in način zmanjševanja škode, če ta nastane.

Prav tako nova zakonodaja, ki ureja področje informacijske varnosti (Zakon o informacijski varnosti, Zakon o kritični infrastrukturi) zahteva od zavezancev, da vzpostavijo SUVI, v primeru, da tega ne storijo, pa so celo zagrožene globe. Razvoj informacijske varnosti v kontekstu zavarovanja osebnih podatkov posebej spodbuja GDPR.

Zaradi številnih koristi, ki jih SUVI prinaša, zaradi zahtev zakonodaje in zaradi postopnega kolektivnega izboljšanja varovanja informacij v slovenskem zdravstvu, NIJZ priporoča podjetjem, ki razvijajo in vzdržujejo informacijske rešitve v zdravstvu, prav tako tudi večjim ter srednje velikim izvajalcem zdravstvenih storitev, vzpostavitev (kolikor tega že niso storili) svojega SUVI – sistema upravljanja varovanja informacij. V ta namen je v nadaljevanju objavljeno prosto dostopno gradivo, ki ga je pripravil NIJZ kot pripomoček izvajalcem zdravstvenih storitev pri vzpostavitvi lastnega SUVI.

Pogosto zastavljena vprašanja o eZdravju so na voljo na naslovu Pogosta vprašanja.

Prosto dostopno gradivo

Analiza tveganja za poslovni proces

Popis informacijskih sredstev

Popis zahtev poslovnega procesa

Končna dokumentacija SUVI – 1

Končna dokumentacija SUVI – 2

Končna dokumentacija SUVI – 3a

Končna dokumentacija SUVI – 3b

Končna dokumentacija SUVI – 4

Zdravstveni podatki se glede na zahteve GDPR uvrščajo med posebne vrste osebne podatke, za katere veljajo strožji ukrepi zavarovanja. ZVOP-1 pa v 14. členu izrecno določa, da morajo biti zdravstveni podatki, ko se prenašajo prek telekomunikacijskih kanalov, šifrirani.

NIJZ zato posebej priporoča vsem uporabnikom zdravstvenih storitev, da uporabljajo rešitve, ki omogočajo šifriran prenos zdravstvenih podatkov po telekomunikacijskih kanalih. V okviru eZdravja ponuja dve takšni rešitvi, in sicer varno zasebno omrežje zNET, ki že privzeto šifrira vse podatke, ter Interoperabilno hrbtenico, ki omogoča izmenjavo dokumentacije med izvajalci zdravstvenih storitev.

Splošni napotki, ki jih velja upoštevati za varno ravnanje s podatki:

• Preverimo ali imamo pravilnik o varstvu osebnih podatkov in o ravnanju z informacijskimi sredstvi. Tak pravilnik je osnova informacijske varnosti
• Poskrbimo, da so dostopi do delovnih postaj in programske opreme v kateri se obdelujejo osebni podatki, varovani z ustreznimi gesli.
• Posodobimo informacijska sredstva, ki jih uporabljamo. Strežniki, delovne postaje, tablice in pametni telefoni naj bodo redno posodobljeni z varnostnimi popravki. Osnovni del programske opreme naj vključuje protivirusno zaščito in požarni zid.
• Poskrbimo, da je dostop do zdravstvenih podatkov čim bolj omejen. Dostopi naj se, kadar je mogoče, beležijo v obliki revizijskih sledi.
• Poskrbimo za redno izvajanje varnostnih kopij podatkov. Priporočljivo je, da občasno testiramo ali je podatke iz varnostnih kopij mogoče obnoviti.

Številne napotke o varnem ravnanju z informacijskimi sredstvi najdemo v naslednjih dokumentih:

• Smernice organizacije ENISA za zagotavljanje kibernetske varnosti v bolnišnicah
• Smernice Informacijskega pooblaščenca o zavarovanju osebnih podatkov
• Smernice Informacijskega pooblaščenca o zavarovanju informacijskih sistemov bolnišnic
• Napotki SI-CERT za varno rabo računalnika

Dodatne zahteve za razvijalce informacijskih rešitev

Podjetjem, ki razvijajo in vzdržujejo informacijske rešitve v zdravstvu, še posebej priporočamo, da poleg že navedenih smernic upoštevajo dodatne zahteve v zvezi z zavarovanjem zdravstvenih podatkov.

• Izvedba ocene učinka vpliva na varstvo podatkov (DPIA). GDPR v primerih, ko gre za obsežno obdelavo zdravstvenih podatkov, pred obdelavo predvideva izvedbo DPIA. Primarno je to dolžnost upravljavcev, vendar morajo podjetja, ki razvijajo in vzdržujejo informacijske rešitve pri tem sodelovati. O tem kako izvesti DPIA se lahko seznanite v Smernicah Informacijskega pooblaščenca o oceni učinka vpliva na varstvo podatkov.
• Prav tako je zelo priporočljivo, da v primerih, ko bo aplikacija dostopna prek spleta, upoštevate priporočila OWASP glede odprave ranljivosti spletnih aplikacij.

Kaj storiti, če zaznamo varnostni incident?

• Če zaznamo varnostni incident (izgubimo podatke, zaznamo virus, tretja oseba pridobi naše geslo), o tem nemudoma obvestimo pristojno osebo – navadno je to vodja informatike ali predstojnik organizacije v kateri smo zaposleni.
• V primeru suma kaznivega dejanja, ki je povezan s področjem informacijske varnosti, je priporočljivo stopiti v stik s SI-CERT in s Policijo.
• V primeru kršitve varstva osebnih podatkov (če so izpolnjeni pogoji iz 33. člena GDPR), je upravljavec dolžan Informacijskega pooblaščenca obvestiti o kršitvi.
• Če zaznamo varnostni incident, ki je povezan s storitvami eZdravje, o tem obvestimo NIJZ.