Legislativní požadavky na bezpečné zpracování informací

Bezpečnostní manažer zdravotnické organizace čelí v porovnání s kolegy v soukromém sektoru specifickým rizikům. Při řešení otázky bezpečného zpracování informací je zde více než kde jinde důležitá důvěrnost, dostupnost a integrita dat, protože zdravotnické organizace pracují s velkou koncentrací citlivých osobních dat pacientů. Na základě těchto dat se činí rozhodnutí, která mohou být otázkou života a smrti každého z nás, a proto jakýkoliv přístup (čtení i zápis) lékařského personálu musí být jednoznačně identifikovatelný a dohledatelný. Česká legislativa na tato specifika pamatuje, a proto jsou bezpečnostní požadavky na zpracování informací ve zdravotnictví upraveny několika zákony. Jedná se zejména o zákon č. 20/1966 Sb., o péči o zdraví lidu, § 67b Zdravotnická dokumentace, zákon č. 101/2000 Sb., o ochraně osobních údajů, a zákon č. 499/2004 Sb., o archivnictví a spisové službě.

Také bezpečnostní manažer ISVS si musí být vědom toho, že jemu svěřený informační systém se typicky vyznačuje vysokým počtem uživatelů a zajišťováním služeb, které musí stát již ze své podstaty zajistit. Potenciální narušení bezpečnosti může mít v konečném důsledku velmi rozsáhlý dopad, protože všichni daňoví poplatníci využívají některou ze služeb státu, která je podporována ISVS.

V rámci legislativy České republiky a Evropské unie existuje nepřeberné množství legislativních dokumentů, které upravují požadavky na zpracování informací v rámci ISVS. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy, vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, a vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje, která upravuje posuzování shody bezpečnosti elektronického nástroje použitého v zadávacím řízení, které je realizováno v souladu se zákonem č. 137/2006 Sb., o veřejných zakázkách. Atestační řízení důvěryhodnosti elektronického nástroje pro zadávání veřejných zakázek je zastřešeno Ministerstvem vnitra ČR. V rámci atestačního řízení jsou prověřeny zavedené požadavky na ISMS upravené například normou ISO/IEC 27001.

Nejčastější bezpečnostní rizika

Na základě analýzy konzultačních a auditních projektů společnosti Deloitte v rámci uplynulých let lze identifikovat nejčastější problémy, které se v organizacích veřejné správy a zdravotnictví vyskytují. Nejčastěji identifikovaná rizika shrnuje graf na obrázku 1. Osa Y znázorňuje četnost výskytu daného rizika v rámci portfolia projektů realizovaných ve veřejné správě a zdravotnictví.

Obr. 1: Nejčastěji zjištěná rizika v rámci projektů pro organizace veřejné správy a zdravotnictví

Při bližším pohledu na jednotlivá rizika vykazovaná organizacemi veřejné správy a zdravotnictví je vidět, že se shodují s riziky, jimž čelí organizace soukromého sektoru. Čtyři z pěti nejčastějších problémů a jejich příčin jsou typické i v jiných sektorech, jako jsou finance, telekomunikace, energetika apod.
 

Organizace veřejné správy a zdravotnictví zpracovávají specifické informace, jejichž nároky na dostupnost, integritu a důvěrnost jsou vysoké, a proto dopady identifikovaných rizik mohou mít rovněž závažný dopad na široký počet pacientů či daňových poplatníků. Tato rizika mohou mít závažný dopad, například poškození zdraví pacienta nebo v případě veřejné správy nemožnost registrovat automobil, což v obou případech může vést k podání žalob.

Kroky k nápravě

Proto, aby bezpečnostní manažer organizace ze státní správy nebo zdravotnictví dostál legislativním požadavkům a stanovil cíle pro řízení informačních rizik, je nejprve nutné poznat výchozí situaci, ve které se organizace nachází. Toho lze dosáhnout provedením bezpečnostního auditu a analýzy rizik.

Audit bezpečnosti IS/IT

Aktuální stav řízení informačních hrozeb lze zjistit pomocí bezpečnostního auditu. Po dohodě auditora s bezpečnostním manažerem organizace by měly být identifikovány hlavní oblasti auditu bezpečnosti IS/IT. Prověření stavu informační bezpečnosti procesů, aplikací, serverů, databází a komunikační infrastruktury by mělo být provedeno ve čtyřech úrovních, a to:

• analýza dokumentace upravující řízení informační bezpečnosti v organizaci,
• identifikace slabin v oblasti nastavení IS/IT z pohledu všeobecně uznávaných standardů,
• posouzení kvality a existence interních kontrolních mechanismů v oblasti IS/IT,
• testování účinnosti a konzistence interních kontrolních mechanismů.

Auditor by měl vycházet z existující řídicí dokumentace organizace, informací poskytnutých pracovníky společnosti v rámci řízených rozhovorů, výstupů testovacích skriptů a nástrojů (pro vybrané aplikace, databázové a operační systémy), podkladů o realizovaných činnostech a revize nastavení informačních systémů a informačních technologií.

Analýza rizik

Aby bylo možné vyhodnotit, jakým způsobem by se mělo přistupovat k řešení informační bezpečnosti, je nutné odhalit a pochopit, jaká rizika organizaci ohrožují. Při analýze jsou zjištěny a vyhodnoceny již používané postupy a prostředky proti rizikům a až poté jsou zohledněny události a jejich pravděpodobnosti. Analýza rizik poskytuje podklady pro vyhodnocování prostřednictvím odhalování zdrojů rizik, všech jejich následků a pravděpodobností, že nastanou. Rizika lze analyzovat propojením následků událostí a pravděpodobností jejich výskytu (obr. 2).

Obr. 2: Analýza rizik pomůže odhalit vztahy mezi základními prvky

Jako zdroj informací pro analýzu následků a jejich pravděpodobností mohou sloužit právě výsledky bezpečnostního auditu IS/IT. Výsledkem analýzy rizik je pohled na rizika ve smyslu míry pokrytí zjištěných rizik, která je reprezentována poměrem mezi zavedenými a nezavedenými ochrannými opatřeními.

Řízení napříč všemi organizacemi?

V případě nadnárodních korporací se pro úspěšné řízení informační bezpečnosti ve většině případů postupuje jednotným způsobem napříč celou skupinou. V opačném případě dochází mezi jednotlivými pobočkami k velkým výkyvům ve způsobu řízení rizik a společnosti nemohou zajistit stejnou úroveň poskytovaných služeb napříč všemi pobočkami. To je bohužel případ řízení informační bezpečnosti ve státním sektoru. Vyvstává tedy otázka, zda by se podobný přístup dal aplikovat i napříč organizacemi veřejné správy a zdravotnictví, kdy by bylo hlavním úkolem dosažení stavu, který by uspokojivým způsobem vyvažoval požadavky na unifikovaný přístup k řízení informační bezpečnosti společně se zohledněním specifik daných organizací.

Miroslav Král
Autor působí jako odborný konzultant v oddělení Security & Privacy společnosti Deloitte.