La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Aisis - 2013 Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Convegno Annuale AISIS.

Presentazioni simili


Presentazione sul tema: "Aisis - 2013 Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Convegno Annuale AISIS."— Transcript della presentazione:

1 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Convegno Annuale AISIS SANITÀ E NORME SULLA SICUREZZA DELLE INFORMAZIONI Fabio Guasconi - CLUSIT Firenze, 15 novembre 2013 Hilton Hotel Gruppo di lavoro n°2 : 2013

2 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Relatore Fabio Guasconi Direttivo CLUSIT Direttivo di UNINFO Presidente del ISO/IEC JTC1 SC27 di UNINFO CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor & 9001 Partner e co-founder Bl4ckswan S.r.l.

3 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Agenda Sanità, Information Security, Sicurezza delle informazioni Vocabolario comune Vincoli e regulation Principali standard sulla Sicurezza delle Informazioni NIST SP800 PCI-DSS ISO/IEC 27001/2 ISO 27799, ISM in health using ISO/IEC Specifiche aggiuntive Controlli dedicati

4 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Nato nel 2000 presso il Dipartimento di Informatica dellUniversità degli Studi di Milano Rappresenta oltre 500 organizzazioni di tutti i settori Mission Diffondere la cultura della sicurezza informatica Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali del settore Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza

5 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Introduzione all'attività normativa Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi più 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche. NWI - New work item proposal WD - Working draft(s) CD - Committee draft(s) DIS - Enquiry draft FDIS - Final draft IS - International Standard

6 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Punto di partenza comune: vocaboli SICUREZZA DELLE INFORMAZIONI (information security) Conservazione della riservatezza, dellintegrità e della disponibilità delle informazioni SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI (information security management system) Quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni Fonte: ISO/IEC 27000:2012

7 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Vincoli e regulation di settore

8 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Sicurezza delle informazioni e standard Nazionali NIST SP800 Interna- zionali ISO/IEC ISO/IEC ISO Settoriali PCI-DSS G S G SGenerici Specifici

9 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità PCI-DSS Si applica ai sistemi che trattano dati di carte di pagamento Insieme prescrittivo di oltre 200 controlli a tutto tondo

10 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità NIST Special Publications Serie 800 Guide verticali sui principali temi relativi alla sicurezza delle informazioni e non solo, tra cui: Securing WLAN Security in Virtualization Server security Log management Electronic authentication Security controls Patch management Contingency plans Risk assessment

11 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità ISO/IEC Norma applicabile a realtà di ogni dimensione Dice cosa fare, non come farlo Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Rivolto al miglioramento continuo E un riferimento universale e certificabile Facilmente integrabile con gli altri sistemi di gestione (9001, 14001, ) Appena aggiornata (ottobre 2013) e di prossima pubblicazione in italiano

12 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità ISO/IEC P D C A 4 context 4 context 5 leadership 5 leadership 6 planning 6 planning 7 support 7 support 8 operation 8 operation 9 performance evaluation 9 performance evaluation 10 improvement 10 improvement Annex A

13 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità ISO/IEC La ISO/IEC definisce i processi per la gestione della sicurezza delle informazioni, la ISO/IEC offre un catalogo di contromisure (controlli) di sicurezza da applicare a valle dell'analisi del rischio e le indicazioni su come applicarle 5 Information Security Policies 6 Organisation of Information Security 7 Human Resources Security 8 Asset Management 9 Access control 10 Cryptography 11 Physical and environmental Security 12 Operations Security 13 Communications Security 14 Systems acquisition, development and maintenance 15 Supplier relationships 16 Information Security Incident Management 17 IS aspects of Business Continuity 18 Compliance

14 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità ISO 27799: ISM in health using Norma complementare alla ISO/IEC rivolta a tutto il settore sanitario Pubblicata nel 2008 da ISO/TC 215 mantenendo forti legami con ISO/IEC JTC1 SC27 Include linee guida di interpretazione anche della ISO/IEC e dei processi relativi alla sicurezza delle informazioni Introduce considerazioni aggiuntive per i controlli della ISO/IEC (v. slides successive) Indica criteri di scelta per gli elementi di supporto alla gestione della sicurezza nel settore sanitario E' attualmente in corso di aggiornamento

15 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Caratteristiche specifiche ISO Information Security Management Forum interfunzionale come struttura centrale di coordinamento per la sicurezza delle informazioni Accortezze da impiegare per una corretta gestione del rischio in ambito sanitario: peculiarità del personale (volontari, tecnici …) minacce più comuni in ambito sanitario spostamento di focus dagli impatti economici ai pazienti considerazione dei principali protocolli sanitari apparecchiature mediche informatizzate soglie di accettabilità del rischio non solo basate su requisiti economici

16 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Controlli dedicati nella ISO Sono fornite indicazioni specifiche per ben 64 controlli (rispetto ai 133 della ISO/IEC del 2005), inerenti ad esempio: la classificazione delle informazioni la separazione delle aree ad accesso pubblico dalle altre la segregazione delle responsabilità collegate all'approvazione di procedure cliniche la cancellazione sicura e la cifratura delle informazioni lo scambio di informazioni tra enti sanitari la predisposizione delle informazioni di log anche in ottica di indagini sanitarie gli accessi di emergenza ai sistemi

17 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Conclusioni L'uso degli standard permette di non "reinventare" tutte le volte la ruota ma di beneficiare delle esperienze già maturate In altri contesti la sicurezza delle informazioni si è sviluppata prima che nella sanità ma non ha la stessa importanza I principali sistemi socio-sanitari italiani si stanno già muovendo verso l'adozione di standard per la sicurezza delle informazioni

18 Aisis Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Riferimenti e Contatti Quaderni CLUSIT UNINFO ISO


Scaricare ppt "Aisis - 2013 Associazione Italiana Sistemi Informativi in Sanità Valutazione del Valore derivante dallutilizzo di ICT in Sanità Convegno Annuale AISIS."

Presentazioni simili


Annunci Google