Securitatea informațiilor electronice

Conţinut:

Ce este securitatea informațiilor electronice?

Securitatea informațiilor electronice înseamnă, în sine, protecția datelor conținute în sistemele informatice electronice și în sistemul care le gestionează. De asemenea, este protejată sistemele de informații electronice și informațiile stocate și gestionate în acestea este vorba deci de dreptul la autodeterminare informațională și libertatea informațieió 2011 CXII. Legea LXVI din 1992 privind înregistrarea datelor cu caracter personal ale cetățenilor și înregistrarea adreselor cetățenilor. Legea XLVII din 1997 privind prelucrarea și protecția sănătății și a datelor personale conexe. și Legea L din 2013 privind securitatea informațiilor electronice a organelor guvernamentale de stat și locale - în plus, dată fiind importanța sa, prin dispozițiile privind protecția datelor din Regulamentul 2016/679 al Parlamentului European și al Consiliului (GDPR), care se aplică direct în statele membre ale Uniunii Europene.

Securitatea informațiilor electronice înseamnă asigurarea confidențialității, integrității și disponibilității datelor și informațiilor procesate în sistemele electronice de informații, precum și protecția închisă, completă, continuă și bazată pe risc a integrității și disponibilității componentelor sistemului.

În ceea ce privește raportul de securitate, este important să rețineți că aceasta în sine este doar o condiție care ia în considerare toate amenințările posibile și acoperă toate elementele sistemului, este în curs de desfășurare și costurile sale sunt proporționale cu daunele cauzate de amenințările din pe termen lung. Securitatea informațiilor ca stare așteptată se realizează prin activitățile în curs de prevenire și avertizare timpurie, detectare, răspuns și gestionarea incidentelor de securitate.

În timpul planificării și dezvoltării securității, trebuie urmărită securitatea complexă și, ținând seama de principiul celei mai slabe verigi, tuturor domeniilor de securitate și tuturor tipurilor și activităților măsurilor de securitate trebuie să li se acorde suficientă atenție pentru ca protecția să își atingă poartă.

Atunci când se dezvoltă protecția unui sistem electronic de informare, este necesar să se depună eforturi pentru a evita amenințările, dar dacă acest lucru nu este posibil, acesta ar trebui să fie făcut cunoscut celor interesați înainte de a se produce. În cazul sistemelor de informații electronice, este deosebit de important să se detecteze imediat apariția evenimentelor de securitate, adică un eveniment individual nedorit sau neașteptat sau o serie de evenimente, care provoacă o schimbare nefavorabilă a sistemului de informații electronice sau o situație necunoscută anterior. confidențialitatea, integritatea, autenticitatea, funcționalitatea sau disponibilitatea informațiilor transportate se pierd sau se deteriorează. Dacă apare un incident de securitate, este important să acordați atenție și gestionării acestuia. Pentru a preveni aparițiile viitoare, se desfășoară activități pentru a documenta apariția incidentelor de securitate, pentru a elimina consecințele, pentru a determina cauzele și responsabilitățile și pentru a preveni apariția unor incidente de securitate similare în viitor.

Ce este departamentul de securitate?

Departamentul de securitate nu este altceva decât puterea așteptată a protecției sistemului electronic de informații. Protecția datelor prelucrate în contextul sistemelor informatice electronice trebuie să fie proporțională cu riscurile implicate sistemele de informații electronice într-o clasă de securitate - puterea preconizată a protecției sistemului electronic de informații - sunt puse clasificate în termeni de confidențialitate, integritate și disponibilitate. În funcție de riscul confidențialității, integrității sau disponibilității sistemului de informații electronice în cauză sau a datelor pe care le gestionează, se pot aplica clasele 1-5. Pe măsură ce numerotarea crește, standardele de securitate se înăspresc.

Cheltuielile pentru protecția sistemului informațional se bazează pe proporționalitatea riscului, adică se justifică cheltuirea pentru protecție doar proporțional cu magnitudinea pierderilor și daunelor potențiale. Măsura în care sunt necesare cheltuieli pentru protejarea sistemului informațional poate fi determinată de amploarea daunelor cauzate de pierderea confidențialității, integrității sau disponibilității datelor procesate și integrității și disponibilității elementelor sistemului informatic electronic.

Legislația actuală subliniază cerința de integritate în cazul sistemelor naționale de gestionare a activelor de date, cerința disponibilității în cazul componentelor critice ale sistemului de informații și menține confidențialitatea datelor cu caracter personal specifice ca o nevoie fundamentală.

Clasificarea de securitate este aprobată de șeful organizației și este responsabilă pentru conformitatea acesteia cu legislația și riscurile, completitudinea și actualitatea datelor utilizate. Clasificarea de securitate trebuie înregistrată în politica de securitate IT a organizației. Deoarece riscurile sunt în continuă evoluție, clasificarea sistemelor electronice de informații ar trebui revizuită în mod documentat cel puțin o dată la trei ani sau, dacă este necesar, în afara liniei. Cerințele pentru clasa de securitate stabilite în timpul introducerii unui nou sistem de informații electronice sau dezvoltarea unui sistem de informații electronice existent trebuie să fie îndeplinite până la punerea în funcțiune.

Un sistem care gestionează activele naționale de date și este desemnat ca sistem vital prin lege trebuie clasificat în cea mai înaltă clasă de securitate cu cele mai înalte standarde de securitate.

Având în vedere că administratorul Fondului Național de Asigurări de Sănătate (denumit în continuare: NEAK) gestionează și activele de date naționale, adică date de interes public, date cu caracter personal și date publice de interes public și este desemnat prin lege ca sistem IT de asigurări de sănătate, este considerat un conformitatea cu standardele, astfel încât sistemul dvs. IT să fie clasificat ca clasa de securitate 5, ceea ce înseamnă și asta chiar și în cazul unei defecțiuni minore, poate apărea un eveniment de avarie excepțional de mare deoarece

datele cu caracter personal speciale pot fi deteriorate în cantități extrem de mari;
viețile oamenilor pot fi în pericol iminent, iar rănile personale pot apărea în număr mare;
activele de date naționale pot fi deteriorate iremediabil;
nu este asigurată disponibilitatea unui sistem informațional vital pentru a asigura funcționarea țării și a societății;
poate exista o pierdere serioasă a încrederii în organizația în cauză, drepturile fundamentale ale omului sau drepturile fundamentale pentru funcționarea societății pot fi încălcate;
un sistem de informații electronice care tratează secrete comerciale de mare valoare sau procese foarte sensibile sau datele care constituie informații pot fi deteriorate masiv sau semnificativ;
daunele materiale directe și indirecte se ridică la 15% din bugetul organizației în cauză.

Care este nivelul de securitate?

Nivelul de securitate este disponibilitatea organizației de a gestiona sarcinile de securitate specificate în legislația privind securitatea informațiilor electronice. Pentru a oferi o protecție rentabilă și rentabilă, o organizație ar trebui clasificată în niveluri de securitate pe baza disponibilității sale de a proteja sistemele de informații electronice, care este destinat să măsoare nivelul de pregătire al organizației respective pentru a proteja sistemele de informații electronice. Nivelul de securitate poate fi clasificat în niveluri numerotate de la 1 la 5.

Clasificarea unei organizații într-un nivel de securitate este aprobată de șeful organizației și este responsabilă de conformitatea acesteia cu legislația și riscurile, completitudinea și actualitatea datelor utilizate. Rezultatul clasificării de securitate trebuie înregistrat în politica de securitate IT a organizației. Determinarea nivelului de securitate se revizuiește în mod documentat cel puțin o dată la trei ani după atingerea nivelului de securitate, dacă este necesar din rândul său. În cazul unei modificări care afectează securitatea sistemului de informații electronice sau introducerea unui nou sistem de informații electronice, clasificarea organizației sau a unității organizaționale într-un nivel de securitate se repetă la rândul său.

Organizația trebuie să atingă un nivel de securitate echivalent cu cea mai înaltă clasă de securitate a sistemelor de informații electronice pe care le gestionează.

Pentru a determina nivelul de securitate, este necesar să se examineze următoarele sarcini și așteptări:

elaborarea regulilor detaliate ale proceselor de securitate,
asigurarea expertizei în securitatea sistemelor informatice electronice din cadrul organizației,
reglementarea sarcinilor și responsabilităților legate de securitatea sistemelor informatice electronice,
regularitatea măsurătorilor nivelului de securitate,
dezvoltarea de măsuri fizice și de protecție,
prelucrarea informațiilor legate de sistemele informatice electronice,
situația de securitate a informațiilor în cadrul organizației (indiferent dacă este administrată ca parte a organizației sau doar la nivel IT),
asigurarea analizei riscului și impactului de securitate,
aplicarea obiectivelor managementului siguranței și a metodelor de măsurare,
frecvența testelor ad hoc de securitate și vulnerabilitate;
evaluarea securității sistemelor informatice electronice,
măsurarea eficacității managementului siguranței,
pentru achiziționarea de produse evaluate din punct de vedere al securității în dezvoltarea sistemului electronic de informații etc.

La clasificarea la un nivel de securitate, cerințele de confidențialitate, integritate și disponibilitate vor fi puse în aplicare, luând în considerare sarcinile și așteptările, precum și ponderea adecvată riscurilor.

Nivelul de securitate al organizației în cauză poate fi de 5 dacă, pe lângă caracteristicile atribuite nivelului 4, organizația este operatorul, dezvoltatorul sau dezvoltatorul de sisteme de informații electronice pentru componentele de sistem desemnate ca Componente ale Sistemului Critic European și Elemente ale Sistemului Critic Național. organizație sau unitate organizațională.

NEAK, privind identificarea, desemnarea și protecția sistemelor și instalațiilor critice CLXVI din 2012 lege operator al unui sistem IT de asigurări de sănătate desemnat prin lege ca element vital al sistemului național și gestionează, de asemenea, elemente naționale de active de date care trebuie protejate în cadrul unui sistem IT corespunzător clasei de securitate 5.

Având în vedere că NEAC gestionează un sistem clasificat ca clasă de securitate 5, nivelul său de securitate trebuie să îndeplinească și cerințele pentru nivelul 5, adică, printre altele:

asigurați-vă că procesele de control al securității informațiilor sunt integrate în sarcinile de bază ale organizației,
asigura revizuirea și îmbunătățirea continuă a politicilor, procedurilor de testare și proceselor de securitate,
organizația trebuie să aibă un program cuprinzător de securitate a informațiilor care face parte integrantă din misiunea organizației și care crește gradul de conștientizare a securității personalului,
personalul organizației trebuie să dețină capacitatea de securitate a informațiilor operaționale și expertiza necesară pentru îndeplinirea sarcinii;,
capacitatea de a identifica și aborda vulnerabilitățile de securitate trebuie implementată pentru organizație în ansamblu,
schimbarea mediului de securitate a informațiilor trebuie monitorizată prin reevaluarea continuă a amenințărilor și revizuirea proceselor de control,
alternative de securitate a informațiilor suplimentare ar trebui identificate în lumina schimbărilor din mediul extern sau intern care afectează securitatea informațiilor,
organizația trebuie să dezvolte o metodologie pentru măsurarea și evaluarea capacităților și stării securității informațiilor și să-și definească indicatorii;.

Care sunt sistemele IT de asigurări de sănătate?

Asigurare de sanatate sisteme IT cheie următoarele:

Sistem electronic de raportare (e-Report):

Funcționează cu succes din 2009, sprijinind activitatea farmaciilor, distribuitorilor GYSE, spa-urilor și furnizorilor de asistență medicală. Scopul sistemului este de a simplifica procesul de trimitere a rapoartelor și de a permite rapoartelor săptămânale/lunare să fie transmise direct către NEAK printr-o linie electronică și sigură de transmisie a datelor (Internet). Mai multe despre e-Report în prospectul conturilor de finanțare, și puteți citi aici.

Decontare BÉVER:

NEAK folosește un sistem IT care funcționează ca o rețea națională pentru contabilitatea sprijinului prețurilor pentru contabilitatea unificată a medicamentelor, nevoile nutriționale speciale (în continuare: medicamente), ajutoarele medicale, îngrijirea medicală și centrul de cadre special, primirea, procesarea și înregistrarea rețetei - raport bazat, pentru control. Numele sistemului IT s-a schimbat de la acronimul anterior (Sistemul de prescripție și control Békéscsaba) la un termen tehnic, așa că a devenit cunoscut sub numele de BÉVER. Mai multe despre prima în prospectul pentru calcularea subvenției de preț, și Aici poți citi.

Verificare juridică (OJOTE):

NEAK folosește un sistem IT național pentru a verifica eligibilitatea și TAJ. Esența auditului relației juridice este că, în prezent, toți furnizorii de servicii medicale finanțate din fonduri publice, în conformitate cu obligațiile legale, verifică online la fiecare întâlnire medic-pacient dacă pacientul este inclus în registrul ținut de compania de asigurări de sănătate. Pentru mai multe informații despre prima, a se vedea în prospect pentru dovada dreptului la prestații, și Aici poți citi.

Interfață de raportare a articolelor:

THE 9/1993. (IV.2.) Decret NM 1/A. Utilizarea substanței active enumerate în anexa I la regulament este contabilizată prin sistemul prin care NEAK contabilizează utilizarea substanțelor active enumerate în regulament în conformitate cu indicațiile stabilite în acesta, decizia de acceptare a prestațiilor de securitate socială și SPC. Mai multe despre contabilitatea detaliată Aici poți citi.

Raport lunar al angrosistilor farmaceutici (PANKA):

CLV 2016 privind statisticile oficiale. lege 288/2009 privind colectarea datelor din Programul național de colectare a datelor statistice în cadrul Programului național de colectare a datelor statistice (OSAP). (XII. 15.) Anexa 3 la Decretul Guvernului prevede obligația de a furniza date lunare producătorilor farmaceutici și angrosistilor farmaceutici sub numărul 1913, care este îndeplinită prin următoarea cerere, care este descrisă mai detaliat în Aici poți citi.

Sisteme IT suplimentare:

Asigurăm respectarea cerințelor legale?

Întrucât instituirea securității informațiilor electronice în cadrul anumitor organizații este o cerință a societății, părea oportun să se înființeze organizații independente cu competență națională pentru a monitoriza respectarea dispozițiilor legale.

Autoritatea Națională pentru Securitatea Informațiilor Electronice

În calitate de Autoritate Națională pentru Securitatea Informațiilor Electronice (denumită în continuare: Autoritatea), Guvernul este un organism bugetar central Serviciul Național de Securitate desemnat de.

Sarcinile autorității includ:

Centrul de gestionare a evenimentelor guvernamentale

Guvernul a Ca centru guvernamental de gestionare a evenimentelor (denumit în continuare: Centrul) a desemnat Serviciul Național de Securitate, un serviciu bugetar național cu competență și competență independentă pe întreg teritoriul țării.

Sarcinile și competențele Centrului:

Centrul de gestionare a evenimentelor de securitate IT pentru sisteme și facilități critice

Ministerul de Interne operează un centru de gestionare a evenimentelor pentru a efectua activități de securitate a rețelei legate de protecția sistemelor și facilităților critice naționale. În calitate de centru și facilități critice de securitate IT, centru de gestionare a evenimentelor.

Atribuțiile sale includ

participarea la pregătirea strategiilor și a reglementărilor sectoriale pentru protecția tehnică, prevenirea, activitățile de informare și educație, securitatea comunicării informațiilor la cerere și protecția sistemelor și facilităților informatice electronice critice;,
coordonarea prevenirii intervențiilor din spațiul cibernetic global către sisteme IT și rețele de comunicații identificate ca componente critice naționale.