������������ ���

�������������������

������������������������ ��� !

������������������� �����

���������� �������� ��������

����� ������� ������ ��������

������������� �����

– ���������� ������ ������� ����� ���������������������

– ������������������������

– ����������������������������

���� ������

– �� � �����������������!�"���"����������� ������ ���#

– ���$�� �������������������

– ��%��������������� ���

&��� ���� ����� "'( �������

– �%�����������

– �"���$��

– �� � ������

– ��"����

������� ������� ������ �� �������� ������

• prepre�iti nepooblaš�en fizi�ni dostop do informacijskega sistema in informacij

• Varovana obmo�ja• Obmo�je javnega dostopa (�akalnice, hodniki, bolniške

sobe…)

• Obmo�je zdravstvenih pisarn (zdravniške pisarne, pisarne medicinskih sester…)

• Obmo�je upravnih pisarn (pisarne vodstva, finan�ne službe, splošnih služb…)

• Obmo�je ra�unalniškega IS (podatkovni center…)

• Obmo�je komunikacijskega sistema (komunikacijske omare, komunikacijski vodi…)

������� ������� ������ �� �������� ������

• kontrola dostopa

• klju�

• brezkontaktna kartica

• slepa kljuka

• protivlomni alarm

• varnostna služba

• videonadzor

• evidentiranje dostopov v obmo�je ra�unalniškega IS

������� ������� ������ �� �������� ������

• politika �iste mize mize

• papirne in ra�unalniške nosilce podatkov (CD, DVD, trakovi) z osebnimi podatki se ne sme puš�ati na mizah in drugih odprtih prostorih

• politika praznega zaslona (ohranjevalnik zaslona, zaklepanje zaslona pri odhodu z delovnega mesta)

• odstranjevanje podatkov (uni�enje pri pooblaš�enih organizacijah, komisijsko uni�evanje, rezalniki papirja,..)

• politika proti zlorabi opreme ra�unalniškega IS (oprema mora biti zabeležena, identifikacijske oznake, vzdrževanje evidenc)

������� ������� �� ����� �������� �����

• prepre�iti možnost zlorabe pri hrambi zdravstvene dokumentacije

• Osnovno zdravstveno dokumentacijo se hrani:

• zobozdravstveni karton – trajno

• zdravstveni karton in popis bolezni – 10 let po smrti bolnika

• ostala osnovna zdravstvena dokumentacija – 15 let

• hramba v elektronski obliki

• skladno z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih (notranja pravila, akreditacija strojne in programske opreme)

• kriptirana oblika zapisa osebnih in ob�utljivih osebnih podatkov

• uporaba storitev hrambe zunanjih izvajalcev

� ���� ������ �� ������

• prepre�iti nepooblaš�en dostop in zlorabo omrežja

• dostop do lokalnega omrežja• aktivna vrata priklju�nih stikal na podro�jih izven nadzora

(na primer na hodnikih in v drugih javno dostopnih prostorih) niso aktivna

• lo�itev mrežnih segmentov za doma�e in gostujo�e uporabnike

• uporabo ustreznih mehanizmov za prepoznavanje uporabnikov in omejevanje dostopa (na primer NAC, NAP, …)

• oddaljeni dostop (avtentikacija z uporabo digitalnih certifikatov in enkratnih gesel)

• beleženje administrativnih dostopov

� ���� ������ �� ������

• dostop do omrežja zNET• administrativni dostopi

• VPN oddaljeni dostop (avtentikacija z enkratnimi gesli ali digitalnimi certifikati)

• beleženje administrativnih dostopov na požarnih pregradah in omejevanje dostopa

• dodeljevanje pravic po principu najmanjših potrebnih pravic

• uporabniški dostopi

• pri dostopu do spletnih aplikacij se avtentikacija izvaja z digitalnimi potrdili

• uporabniški dostopi se beležijo na strežnikih

������� ����� ������

• zmanjšati možnost nepooblaš�enega logi�nega dostopa do informacijskega sistema in informacij

• dostopi do aplikacij in informacij

• uporabniško ime in geslo ali digitalno potrdilo

• uporabnik ima dostop samo do podatkov, ki jih potrebuje pri svojem delu (postopki dodelitve in odvzema pravic)

• dostopi do sistema

• geslo administratorskega ra�una je shranjeno (npr: zaprta kuverta v sefu)

• za vsak sistem obstajata uporabniški ra�un z administratorskimi pravicami in uporabniški ra�un z obi�ajnimi pravicami

������� ����� ������

• dodelitev pravic dostopa

• sproži kadrovska služba

• pravice dolo�i in odobri nadrejeni

• pravice dodelijo sistemski skrbniki

• sistemski skrbniki obvestijo kadrovsko službo o izvedbi

• uporablja se obrazec za dodelitev dostopa

• vodi se seznam uporabnikov z odobrenimi dostopi ter datumi dodelitve in ukinitve pravic.

• hranjenje zahtevkov za dodelitev, spremembo in odvzem pravic

������� ����� ������

• ukinitev pravic dostopa

• sproži kadrovska služba (v zahtevku navede datum ukinitve pravic)

• sistemski skrbnik uporabi evidenco pravic dostopov uporabnika in mu ukine pravice (uporabniški ra�un, VPN dostop, pravice dostopa do aplikacij in podatkov)

• sistemski skrbnik obvesti kadrovsko službo in nadrejenega, da so pravice ukinjene

������� ����� �������� �

• prepre�iti neodobrene spremembe programske in strojne opreme (nedelovanje, varnostne ranljivosti)

• nabava (predlog z varnostnimi in funkcionalnimi specifikacijami)

• namestitev opreme v produkcijsko okolje

• testiranje v testnem okolju (zapisnik testiranja)

• spoštovanje licen�nih pogojev PO

• dovoljeno je nameš�ati odobreno programsko opremo (odobri služba za informatiko, varnosti inženir)

• opremo namestijo pooblaš�ene osebe

������� �����! ���������� �� ��������� �"

• naloge sodelujo�ih, odgovornosti, nadzor, zapise, ki nastajajo

• Faze razvoja• izdelava projektne naloge• izbira izvajalca• imenovanje organov projekta• izdelava in potrditev VDP• izdelava specifikacij• izvedba razvoja• izdelava dokumentacije• testiranje• prevzem• namestitev programske opreme • uvajanje uporabnikov

������� ����������� �����

• zahteva Zakona o varstvu osebnih podatkov

• cilj je zagotoviti sledljivost dostopov v primeru zlorabe pravic ali nepooblaš�enega dostopa do podatkov

• beležiti je potrebno vpis, spremembo, izbris in vpogled • beležiti je potrebno kdo in kdaj je dostopal do dolo�enega

podatka• zagotoviti je potrebno sledljivost posredovanih osebnih

podatkov• zbirko vpogledov se lahko uni�i po 5 letih pod pogojem,

da v tem �asu ni do nje nih�e dostopal

������� �������� �� ������ �����

Varovanje gesel

• geslo je strogo zaupna informacija• geslo ne sme vsebovati:

• besed iz slovarja, • imen in priimkov uporabnika in družinskih �lanov,

katerokoli obliko datuma, • ime, oznako ali številko organizacije, • zaporedna števila.

• gesla se ne sme zapisovati na papir• za�asno geslo mora uporabnik spremeniti ob prvi prijavi

������� �������� �� ������ �����

Administratorska gesla

• potrebno jih je shraniti tako, da se v nujnih primerih (odsotnost skrbnika sistema) zagotovi možnost dostopa (npr.: zaprte kuverte v sefu)

• dolo�i se pooblaš�ena oseba, ki shranjuje kuvertirana gesla in preverja redno menjavanje gesel

• gesla se menja na 90 dni

• gesla imajo vsaj 14 znakov

• vsaj 5 zaporednih gesel mora biti neponovljivih

������� �������� �� ������ �����

Uporabniška gesla

• izbirati je potrebno gesla z najmanj 8 in najve� 15 znaki

• geslo je sestavljeno iz najmanj 3 razli�nih znakov, od katerih je vsaj ena �rka ali simbol

• gesla ne vsebujejo šumnikov

• gesla je potrebno menjati vsakih 6 mesecev (Opomba: potrebno uskladiti z varnostno politiko MJU) (pogosta praksa je 2 meseca)

• vsaj 5 zaporednih gesel je neponovljivih

������� �������� �������� �� �������

�������� ������� �����

Pogodbe s tretjimi strankami (vzdrževalci sistemov in naprav, programerske hiše, �istilni servis) morajo vsebovati �len glede varovanja informacij.

Tretjim strankam se dodeli dostop le do informacij in sistemov, ki jih potrebujejo pri svojem delu. (ne pa do celotnega informacijskega sistema)

Tretje stranke se pred dodelitvijo dostopa seznani z deli varnostne politike, ki jo je dolžna upoštevati.

������� �������� �������� �� �������

�������� ������� �����

Logi�ni dostop tretjih strank:

•vodja OE pripravi zahtevek za dostop tretje stranke

•tretje stranke se avtenticirajo z enoli�nim identifikatorji

•dostopi tretjih strank do informacij in sistemov se beležijo

•tretjim strankam se dostop do IS odvzame takoj, ko dostopa ne potrebujejo ve�

•v primeru suma kršitve varnostne politike se tretji stranki odvzame dostop

������� �������� �������� �� �������

�������� ������� �����

Fizi�ni dostop tretjih strank:

•dostop tretjih strank do opreme je vedno nadziran (pod nadzorom nekoga od zaposlenih)

•vzdrževanje opreme opravljajo pooblaš�ene tretje osebe

•izvajalec podpiše sporazum o varovanju informacij

•vzdrževalna dela se izvajajo na mestu, kje se oprema nahaja

������� ��������� �������

• Pomembni elektronski podatki se shranjujejo na medije daljše trajnosti (npr.: trakovi)

• Mediji za shranjevanje podatkov so ustrezno ozna�eni (vrsta podatkov, datum zapisa, vrsta varnostne kopije) in varno shranjeni (npr.: ognjevarna omara, do katere dostopajo le pooblaš�ene osebe)

• Potrebno je dokumentirati procedure za varnostno kopiranje in restavriranje podatkov in dolo�iti pooblaš�ene osebe.

• Postopke restavriranja je potrebno preizkusiti (na 6 mesecev).

• Enkrat mese�no se varnostne kopije prenese na oddaljeno lokacijo (npr.: v ban�ni sef)

• Izvajanje politke 1x mese�no preverja oseba odgovorna za delovanje IS.

������� ��������� �������� �������������

• uporaba UPS in agregata

• klimatske naprave (priporo�a se podvojen klimatski sistem)

• komunikacijski in elektri�ni kabli so speljani po kabelskih kanalih

• senzorji za dim, previsoko temperaturo in vodo

• sistem alarmiranje v primeru kriti�nih dogodkov (sporo�anje varnostni službi in odgovornim osebam )

• infrastruktura mora biti redno pregledovana

������� ������ ���� ��������� ���������

������

• uporablja se programska oprema za zaš�ito pred zlonamerno programsko opremo, ki je centralno upravljana s strani CIZ

• �e se uporablja lastna programska oprema za zaš�ito pred zlonamerno programsko opremo, se njena ustreznost preveri pri postopku certificiranja kon�nih to�k.

• nameš�ena je na vseh strežnikih, delovnih postajah in prenosnikih

• Uporabljena programska oprema za zaš�ito pred zlonamerno programsko opremo se mora redno posodabljati (pogosta praksa: 15 min), prav tako pa se mora redno izvajati pregledovanje trdih diskov (pogosta praksa: enkrat dnevno) in prenosnih medijev

�������� ���������� ������� ����

• Certificiranje je preverjanje usklajenosti izvajalcev zdravstvene dejavnosti z ZVOP in varnostno politiko eZdravja.

• Postopek

• izvajalec preda dokumentacijo sistema vodenja varovanja informacij zunanjim presojevalcem

• izvede se presoja dokumentacije in izdela poro�ilo

• v primeru priporo�il in neskladnosti dokumentacije, se izvedejo ustrezne spremembe in ukrepi

• zunanji presojevalci izvejo presojo na lokaciji izvajalca zdravstvene dejavnosti, izdelajo poro�ilo in se odlo�ijo o certifikaciji

�������� ���������� ������� ����• Postopek

• �e ni neskladnosti, se izvajalec vklju�i v zNET

• v primeru priporo�il, jih mora izvajalec upoštavati v roku 6 mesecev, in je certicificiran

• v primeru neskladnosti, izvajalec ni certificiran. Izvajalec izvede ustrezne ukrepe za odpravo neskladnosti in je ponovno presojan.

• Pogostost zunanjih presoj:

• pri certificiranju

• v primeru neskladnosti in ve�jih varnostnih incidentov

• po letnem planu Centra za informatiko v zdravstvu (CIZ)

• Kriteriji za certifikacijo

• dolo�i CIZ na podlagi zakonodaje in dobrih praks standardov informacijske varnosti

�"����#����"����#���

$���������������������"%

&��������'

(������)��"����