Bezpieczeństwo Informacji – co i gdzie chronimy?

Bezpieczeństwo Informacji polega na odpowiedzialnym i zgodnym z prawem przetwarzaniu udostępnionych przez Firmę jako pracodawcę informacji obejmujących:

• dane medyczne i osobowe pacjentów,
• dane osobowe pracowników i współpracowników,
• dane dotyczące firm współpracujących,
• oraz inne wybrane informacje dotyczące Firmy.

Każda firma działająca w branży ochrony zdrowia musi wdrożyć i nadzorować system ochrony informacji.

Na początku należy zidentyfikować i dokonać analizy czynników zewnętrznych i wewnętrznych mających potencjalny wpływ na bezpieczeństwo informacji oraz poszczególnych interesariuszy i określonych przez nich wymagań. W tym celu identyfikuje się i analizuje ryzyko we wszystkich obszarach swojej działalności oraz kontroluje utrzymanie zgodności ze zdefiniowanymi wymaganiami.

Zgodnie z wymaganiami prawnymi dot. przetwarzania danych osobowych Firma powinna prowadzić:

1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.
2. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.
3. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
4. Sposób przepływu danych pomiędzy poszczególnymi systemami.

Podejście do bezpieczeństwa informacji opiera się na następujących kluczowych atrybutach aktywów informacyjnych:

1. Poufność – informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
2. Integralność – dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
3. Dostępność – bycie osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot.
4. Rozliczalność – działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
5. Autentyczność – tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji).
6. Niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie.
7. Niezawodność – spójność zamierzonych zachowań i skutków.

Cele Systemu Zarządzania Bezpieczeństwem Informacji

Celem wdrożonego SZBI jest osiągnięcie takiego poziomu organizacyjnego i technicznego, który:

• będzie gwarantem skutecznej ochrony informacji oraz ciągłości procesu ich przetwarzania,
• zapewni zachowanie poufności informacji chronionych (poufnych), integralności i dostępności informacji chronionych (o ograniczonym dostępie) oraz integralności i dostępności informacji jawnych (ogólnodostępnych),
• ograniczy do akceptowalnego poziomu występowanie zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka oraz innych aktywów, w tym systemów technicznych wspierających przetwarzanie informacji Firmy,
• zapewni skuteczne i bezpieczne funkcjonowanie wszystkich aktywów przetwarzających informacje,
• zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa informacji.

Powyższe cele realizowane powinny być poprzez:

• opracowanie struktury organizacyjnej zapewniającej optymalny podział, koordynację zadań i odpowiedzialności związane z zapewnieniem bezpieczeństwa informacji,
• wyznaczenie Właścicieli / Liderów dla kluczowych aktywów przetwarzających informacje, którzy zobowiązani są do zapewnienia im możliwie najwyższego poziomu bezpieczeństwa,
• wyznaczenie Właścicieli Ryzyka,
• przyjęcie do stosowania przez wszystkich Pracowników / Współpracowników polityki, procedur, instrukcji, zasad i innych regulacji wewnętrznych Firmy dot. bezpieczeństwa informacji, wyszczególnionych w dalszej części niniejszego dokumentu,
• podział informacji na statusy i przyporządkowanie im zasad postępowania,
• określenie zasad przetwarzania informacji, w tym stref / jednostek organizacyjnych, w których może się ono odbywać,
• przegląd i aktualizację polityki i procedur postępowania, dokonywaną przez osoby odpowiedzialne, w celu jak najlepszej reakcji na zagrożenia i zdarzenia, w tym przegląd zgodności z wymaganiami prawnymi realizowany nie rzadziej niż raz w roku,
• ciągłe doskonalenie Zintegrowanego Systemu Zarządzania, w tym SZBI, zgodnie z wymaganiami prawa, norm i zaleceniami wszystkich zainteresowanych stron.

Informacja może znajdować się w postaci zapisu na różnych nośnikach, takich jak:

• nośniki papierowe,
• nośniki wymienne (elektroniczne, mobilne) – płyty CD, DVD, dyskietki, karty pamięci, pendrive’y, urządzenia przenośne, dyski, laptopy, palmtopy, telefony komórkowe, wbudowane dyski komputerowe,
• systemy informatyczne,
• sieciowe pakiety, dane przesyłane i przetwarzane w procesie opracowywania oraz udostępniania informacji (wykaz aktualnie stosowanych i projektowanych systemów informatycznych prowadzi Pion Informatyki i Projektów),
• informacje w postaci słownej (bezpośredniej lub okazjonalnie usłyszanej), rozmowy między osobami uprawnionymi (w niewłaściwym miejscu, w obecności osób trzecich), przez telefon itp.

Podstawowe zasady Firmy z zakresu ochrony informacji:

Każdy Pracownik / Współpracownik zobowiązany jest zapoznać się z obowiązującymi dokumentami systemowymi, Regulaminem Pracy, zasadami i wytycznymi IT dot. SZBI i użytkowania systemów informatycznych.

Ponadto, każdy Pracownik / Współpracownik w ramach wprowadzenia na stanowisko pracy ma obowiązek odbyć szkolenie dotyczące zapewniania bezpieczeństwa informacji w Firmie, w tym ochrony danych osobowych i medycznych, a fakt ten jest dokumentowany odpowiednim zapisem. Za przeprowadzenie szkolenia odpowiada Przełożony lub osoba przez niego wyznaczona.

Dobrą praktyką jest aby Pracownicy / Współpracownicy przetwarzający dane / informacje byli zobowiązani do stosowania się do:

• polityki czystego biurka w odniesieniu do dokumentów i nośników ruchomych, co oznacza, że dokumenty papierowe sklasyfikowane, listy adresowe, telefoniczne, dyskietki, płyty CD, DVD, pendrivy, telefony komórkowe itp. nie używane w danej chwili i po zakończeniu pracy powinny być przechowywane w bezpiecznym (zamkniętym) miejscu,
• polityki czystego ekranu w odniesieniu do terminali, komputerów i laptopów, co oznacza stosowanie wygaszacza ekranu po 10 minutach bezczynności, nie pozostawianie bez nadzoru ww. nośników w stanie zarejestrowania do sieci oraz dbałość o niezamieszczanie na pulpicie ekranu monitora dużej liczby folderów i plików, szczególnie o nazwach wskazujących na ich poufną zawartość,
• polityki ochrony urządzeń faksowych, fotokopiarek i innych podobnych pozostających bez nadzoru oraz niezwłocznego usuwania dokumentów z urządzeń po wydrukowaniu czy kopiowaniu – polityka niszczenia zbędnych dokumentów i zapisów w niszczarkach i specjalnych kontenerach,
• polityki niepozostawiania bez nadzoru i zakazu wynoszenia dokumentów i nośników przetwarzających dane Firmy bez zgody przełożonego i wbrew przyjętym zasadom,
• polityki wykorzystywania wyłącznie do celów służbowych dokumentów papierowych sklasyfikowanych, list adresowych i telefonicznych, telefonów komórkowych, sprzętu informatycznego (terminali, komputerów, laptopów itp.), nośników informatycznych (dyskietek, przenośnych pamięci, płyt CD, DVD, pendrivów itp.), użytkowanych programów, poczty mailowej, intranetu i internetu, – polityka ochrony swojego hasła / kodu i zakazu udostępniania haseł i kodów do systemów informatycznych i wejść osobom trzecim.

ORGANIZACJA BEZPIECZEŃSTWA INFORMACJI

• Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy Pracownicy / Współpracownicy, zgodnie z obowiązującą strukturą organizacyjną, podziałem kompetencji pomiędzy jednostkami organizacyjnymi, ustalonymi opisami stanowisk i obowiązującym Katalogiem Ról i Uprawnień dostępu do systemów informatycznych.
• Każdy Pracownik / Współpracownik ma obowiązek zgłosić naruszenie wymagań SZBI oraz może składać propozycje doskonalenia SZBI.
• Każdy Pracownik / Współpracownik jest szkolony w zakresie SZBI, ochrony danych medycznych i osobowych (fakt odbycia szkolenia jest dokumentowany zapisem).

ZARZĄDZANIE AKTYWAMI

I. Identyfikacja aktywów.

Ewidencja aktywów informacyjnych lub przetwarzających informacje Firmy (urządzenia, oprogramowanie, informacje, ludzie) prowadzona jest przez Liderów procesów / Właścicieli aktywów, pod nadzorem Pełnomocnika ds. Bezpieczeństwa Informacji.

II. Klasyfikacja i postępowanie z informacjami.

Przyjmuje się następującą klasyfikację informacji:

• Informacje poufne Firmy, dla których nośniki oznaczane są statusem „poufne”.
  Informacje o ograniczonym dostępie tj. dostępne z ograniczeniami w poszczególnych jednostkach organizacyjnych, grupach zadaniowych i obszarach, dla których nośniki oznaczane są statusem „o ograniczonym dostępnie”.
  Informacje ogólnodostępne, dla których nośniki nie są oznaczane w żaden szczególny sposób.

III. Najważniejsze zasady postępowania z informacją:

• Informacje, dane oraz dokumenty podlegające ochronie informacji są wyraźnie oznaczone, zgodnie ze stosowaną klasyfikacją informacji, dzięki czemu ich użytkownicy są świadomi obowiązków w zakresie zapewnienia ich bezpieczeństwa.
• Wykaz grup informacji o statusie ochronnym znajduje się w dokumencie „Informacje sklasyfikowane”, stanowiącym integralną część dokumentu „Spis aktywów”. Wykaz ten jest nadzorowany przez Pełnomocnika ds. Bezpieczeństwa Informacji.
• Wymiana informacji z innymi podmiotami podlega ścisłej kontroli. Każdy z Pracowników / Współpracownik przekazuje tylko te informacje, do których ma uprawniony dostęp i jakie są niezbędne dla zrealizowania procesów biznesowych firmy.
• Dokumenty i nośniki zawierające informacje sklasyfikowane podlegają ochronie i są niszczone z uwzględnieniem wymagań ustalonych w procedurach i zasadach wewnętrznych oraz w obecności osób upoważnionych.
• Dostęp do informacji poufnych Firmy i chronionych przyznaje się w oparciu o zakres zadań Pracownika / Współpracownika, zdefiniowany w postanowieniach umowy o pracę / zlecenia / innej umowy, zakresie jego obowiązków służbowych (opis stanowiska pracy) lub treści zleconego zadania operacyjnego.
• Każdy użytkownik udostępnionej mu informacji, odpowiada za przetwarzanie przyjętych zasad bezpieczeństwa danej informacji, czyli zapewnienia jej poufności, dostępności, integralności, niezaprzeczalności, rozliczności, autentyczność i niezawodności.
• Dostęp do informacji realizowany jest wg wymagań ochronnych wynikających z nadanego jej statusu (poufna / o ograniczonym dostępie / ogólnodostępna).
• W kontaktach z podmiotami zewnętrznymi główną zasadą jest upewnienie się, co do poziomu ochrony informacji u danego podmiotu zewnętrznego (nie powinien być niższy niż wymagany przez Firmę) oraz podpisanie z danym podmiotem umowy dotyczącej zapewnienia poufności informacji.

METODYKA PRZEPROWADZANIA ANALIZY RYZYKA

W celu weryfikacji efektywności stosowanych zabezpieczeń, okresowo przeprowadzane są analizy ryzyka dla bezpieczeństwa informacji, a w przypadku zmian organizacyjnych lub biznesowych – po ich wprowadzeniu.

Główne zasady i wymagania Polityki Ryzyka Informacyjnego

• Postępowanie z informacją jest zgodne z obowiązującymi regulacjami prawnymi.
• Monitorowanie zgodności z wymaganiami i badanie incydentów BI odbywa się na bieżąco.
• Monitorujemy ochronę udostępnionej informacji, którą dysponują Strony Trzecie.
• Dostęp do informacji odbywa się zgodnie z przyjętymi zasadami i procedurami.
• Posiadamy zarówno techniczne, jak też proceduralne zabezpieczenia informacji.
• Działamy zgodnie z prawem, respektując decyzje Pacjentów.
• Postępowanie z nośnikami informacji – najważniejsze zasady postępowania

– Pracodawca przekazując pracownikowi w posiadanie nośniki wymienne, dostęp VPN, karty dostępu do Internetu, przekazuje jednocześnie odpowiedzialność za niniejszy sprzęt.
– Komputery przenośne powinny być przewożone jako bagaż podręczny i w miarę możliwości powinno się je maskować.
– Nie należy pozostawiać dokumentów, nośników danych czy innego sprzętu w hotelach ani w samochodzie bez kontroli.
– Należy stosować odpowiednie zabezpieczenia, niezbędne podczas pracy w domu – zamykane szafki, polityka czystego ekranu, zabezpieczanie nośników przed dziećmi.
– Zabrania się wynoszenia dokumentów i nośników przetwarzających dane bez zgody przełożonego i wbrew przyjętym zasadom.
– Zabrania się pożyczania swoich nośników wymiennych oraz kart dostępu.
– Pracodawca może żądać od pracownika zwrotu równowartości lub jego części za zagubiony, ukradziony, uszkodzony lub zniszczony sprzęt w tym utracone dane będące własnością Firmy.
– Utrata jakiegokolwiek nośnika informacji stanowi incydent bezpieczeństwa informacji i wymaga natychmiastowego zgłoszenia do Helpdesk lub przełożonego!
Ochrona informacji przetwarzanych przy użyciu faksów, kopiarek, drukarek

– Uniemożliwienie dostępu do urządzeń biurowych osobom postronnym, poprzez odpowiednie ustawienie, blokadę poza godzinami pracy, kontrolę wydruków za pomocą kart magnetycznych.
– Odbieranie dokumentów natychmiast po wykonaniu przez urządzenie zleconego zadania.
– Niszczenie dokumentów papierowych ręcznie lub w niszczarkach.
– Umieszczanie nieudanych wydruków w specjalnych, metalowych i zamkniętych kontenerach znajdujących się w Centrach Medycznych i na każdym piętrze biura
Ochrona informacji w miejscach publicznych i podczas podróży

– Wynoszenie informacji o firmie na zewnątrz i rozmowa o sprawach służbowych w miejscu publicznym to realne ryzyko utraty lub udostępnienia poufnych informacji służbowych osobom nieuprawnionym lub konkurencji.
– W przypadku pracy na laptopie, smartfonie, analizy służbowych dokumentów lub prowadzenia rozmów na tematy służbowe w miejscach publicznych należy się ZAWSZE upewnić czy osoba nieuprawniona nie ma do nich wglądu lub dostępu.
– Zabronione jest przesyłanie dokumentów za pośrednictwem prywatnej poczty mailowej. Dozwolone jest przesyłanie takich dokumentów tylko ze służbowego komputera zalogowanego do sieci firmowej.
– W przypadku prezentowania jakichkolwiek materiałów o firmie na zewnątrz rekomenduje się skonsultowanie ich treści z działem prasowym, prawnym lub bezpieczeństwa.

BEZPIECZEŃSTWO FIZYCZNE

I. Zasady dostępu do pomieszczeń

Dostęp pacjentów w Centrum Medycznym

• Pacjenci w Centrach Medycznych poruszają się tylko w obszarach ogólnodostępnych (korytarze, poczekalnia).
• Do gabinetów lekarskich pacjenci zapraszani są przez personel Centrum Medycznego.
• Lekarz/pozostały personel nie powinien pozostawiać pacjenta samego w gabinecie.

Dostawcy i identyfikacja gości

• Za gości odpowiada osoba do której są oni kierowani.
• Zabrania się pozostawiania bez nadzoru gości w pomieszczeniach.
• Zabrania się przebywania na terenie Biura Firmy/ Centrów Medycznych osób nieupoważnionych.

II. Zakaz nagrywania i fotografowania

• W Centrach Medycznych obowiązuje zakaz nagrywania i fotografowania.
• Pacjent nie może nagrywać konsultacji lekarskiej bez zgody lekarza.
• Możliwe jest filmowanie i fotografowanie na terenie Centrum Medycznego po wcześniejszym skontaktowaniu się z Kierownictwem Centrum Medycznego lub Departamentem Marketingu i Komunikacji.

III. Odpowiedzialność

Odpowiedzialność prawna z tytułu niezgodnego z prawem przetwarzania informacji LUX MED w tym danych osobowych może dotyczyć zarówno Firmy, jej pracowników, współpracowników oraz dostawców i partnerów biznesowych.

W takich przypadkach odpowiedzialność prawna może mieć charakter:

• administracyjny (Firma, partnerzy),
• karny (tylko osoby fizyczne),
• cywilny (Firma, partnerzy),
• dyscyplinarny (tylko pracownicy).

Zdarzenia Bezpieczeństwa Informacji

KATEGORIE ZDARZEŃ MAJĄCYCH NEGATYWNY WPŁYW NA BEZPIECZEŃSTWO INFORMACJI TO:

• IT i Telekomunikacyjne: niepoprawne działanie systemu lub oprogramowania, przeciążenie, niekontrolowane zmiany, awaria łącz centrala – odbiorca, awaria serwerów, naruszenia sprzętowe (niepoprawne działanie urządzeń drukujących i sprzętu IT, brak funkcjonalności, zepsucie, blokada hasła, nieuprawniony dostęp itd.).
• Bezpieczeństwo fizyczne: naruszenia bezpieczeństwa fizycznego tzn. zamków, drzwi, szaf, wnoszenie sprzętu nie będącego własnością Firmy na jej teren, wynoszenie sprzętu poza siedzibę bez zezwolenia, kradzież, pożar, powódź, nieprawidłowe postępowanie z informacją sklasyfikowaną, niezarejestrowane obce osoby na terenie Centrum Medycznego lub biura Firmy.
• Bezpieczeństwo osobowe: utrata poufności (kradzież, zagubienie) danych osobowych pracownika, klienta, pacjenta, współpracownika.