Diapositiva 1

Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Convegno Annuale AISIS
SANITÀ E NORME SULLA
SICUREZZA DELLE INFORMAZIONI
Fabio Guasconi - CLUSIT
Firenze, 15 novembre 2013
Hilton Hotel
Gruppo di lavoro n°2 : 2013
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Relatore
Fabio Guasconi
 Direttivo CLUSIT
 Direttivo di UNINFO
 Presidente del ISO/IEC JTC1 SC27
di UNINFO
 CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
 Partner e co-founder Bl4ckswan S.r.l.
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Agenda
Sanità, Information Security, Sicurezza delle informazioni
• Vocabolario comune
• Vincoli e regulation
Principali standard sulla Sicurezza delle Informazioni
• NIST SP800
• PCI-DSS
• ISO/IEC 27001/2
ISO 27799, ISM in health using ISO/IEC 27002
• Specifiche aggiuntive
• Controlli dedicati
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
 Nato nel 2000 presso il Dipartimento di Informatica dell’Università
degli Studi di Milano
 Rappresenta oltre 500 organizzazioni di tutti i settori
Mission
 Diffondere la cultura della sicurezza informatica
 Partecipare alla elaborazione di leggi, norme e regolamenti che
coinvolgono la sicurezza informatica
 Contribuire alla definizione di percorsi di formazione per la
preparazione e la certificazione delle figure professionali del settore
 Promuovere l'uso di metodologie e tecnologie che consentano di
migliorare il livello di sicurezza
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Introduzione all'attività normativa
Il sottocomitato 27 (SC27), da cui nascono tutte le norme della
famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi,
in seno al Joint Technical Committee (JTC1) di ISO/IEC, della
sicurezza delle informazioni.
Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19
nazioni come osservatori, per un totale di 69 paesi più 35 enti,
soggetti e progetti internazionali attraverso liaison.
L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato
di UNI per l'intero settore delle tecnologie informatiche.
NWI - New work
item proposal
WD Working
draft(s)
CD Committee
draft(s)
DIS Enquiry draft
Aisis - 2013
FDIS - Final
draft
IS International
Standard
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Punto di partenza comune: vocaboli
SICUREZZA DELLE INFORMAZIONI (information security)
Conservazione della riservatezza, dell’integrità e della disponibilità
delle informazioni
SISTEMA DI GESTIONE PER LA SICUREZZA DELLE
INFORMAZIONI (information security management system)
Quella parte del sistema di gestione complessivo, basata su un
approccio rivolto al rischio relativo al business, volta a stabilire,
attuare, condurre, monitorare, riesaminare, mantenere e migliorare la
sicurezza delle informazioni
Fonte: ISO/IEC 27000:2012
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Vincoli e regulation di settore
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Sicurezza delle informazioni e standard
Internazionali
Nazionali
ISO/IEC 27001
ISO/IEC 27002
ISO 27799
S
G
Settoriali
G NIST SP800
Generici
S PCI-DSS
Specifici
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
PCI-DSS
 Si applica ai sistemi che trattano dati di carte di pagamento
 Insieme prescrittivo di oltre 200 controlli a tutto tondo
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
NIST Special Publications Serie 800
 Guide verticali sui principali temi relativi alla sicurezza delle
informazioni e non solo, tra cui:
800-153
Securing
WLAN
800-125
Security in
Virtualization
800-123
Server
security
800-92 Log
management
800-63
Electronic
authentication
800-53
Security
controls
800-40 Patch
management
800-34
Contingency
plans
800-30 Risk
assessment
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
ISO/IEC 27001








Norma applicabile a realtà di ogni dimensione
Dice cosa fare, non come farlo
Ambito definibile a piacimento
Approccio ciclico (PDCA)
Costituisce un framework completo
Rivolto al miglioramento continuo
E’ un riferimento universale e certificabile
Facilmente integrabile con gli altri sistemi
di gestione (9001, 14001, 180001)
 Appena aggiornata (ottobre 2013) e di
prossima pubblicazione in italiano
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
ISO/IEC 27001
P
D
4
5
6
7
context
leadership
planning
support
8
operation
9
C
A
performance
evaluation
10
improvement
Annex A
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
ISO/IEC 27002
 La ISO/IEC 27001 definisce i processi per la gestione della
sicurezza delle informazioni, la ISO/IEC 27002 offre un catalogo di
contromisure (controlli) di sicurezza da applicare a valle
dell'analisi del rischio e le indicazioni su come applicarle
5 Information
Security Policies
6 Organisation of
Information
Security
10 Cryptography
11 Physical and
environmental
Security
15 Supplier
relationships
7 Human
Resources
Security
8 Asset
Management
9 Access control
12 Operations
Security
13
Communications
Security
14 Systems
acquisition,
development and
maintenance
16 Information
Security Incident
Management
17 IS aspects of
Business
Continuity
Aisis - 2013
18 Compliance
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
ISO 27799: ISM in health using 27002
 Norma complementare alla ISO/IEC 27002 rivolta a tutto il settore
sanitario
 Pubblicata nel 2008 da ISO/TC 215 mantenendo forti legami con
ISO/IEC JTC1 SC27
 Include linee guida di interpretazione anche della ISO/IEC 27001 e
dei processi relativi alla sicurezza delle informazioni
 Introduce considerazioni aggiuntive per i controlli della ISO/IEC
27002 (v. slides successive)
 Indica criteri di scelta per gli elementi di supporto alla gestione
della sicurezza nel settore sanitario
 E' attualmente in corso di aggiornamento
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Caratteristiche specifiche ISO 27799
 Information Security Management Forum interfunzionale come
struttura centrale di coordinamento per la sicurezza delle
informazioni
 Accortezze da impiegare per una corretta gestione del rischio in
ambito sanitario:
─ peculiarità del personale (volontari, tecnici …)
─ minacce più comuni in ambito sanitario
─ spostamento di focus dagli impatti economici ai pazienti
─ considerazione dei principali protocolli sanitari
─ apparecchiature mediche informatizzate
─ soglie di accettabilità del rischio non solo basate su requisiti
economici
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Controlli dedicati nella ISO 27799
 Sono fornite indicazioni specifiche per ben 64 controlli (rispetto ai
133 della ISO/IEC 27002 del 2005), inerenti ad esempio:
─ la classificazione delle informazioni
─ la separazione delle aree ad accesso pubblico dalle altre
─ la segregazione delle responsabilità collegate all'approvazione
di procedure cliniche
─ la cancellazione sicura e la cifratura delle informazioni
─ lo scambio di informazioni tra enti sanitari
─ la predisposizione delle informazioni di log anche in ottica di
indagini sanitarie
─ gli accessi di emergenza ai sistemi
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Conclusioni
L'uso degli standard permette di non
"reinventare" tutte le volte la ruota ma di
beneficiare delle esperienze già maturate
In altri contesti la sicurezza delle
informazioni si è sviluppata prima che nella
sanità ma non ha la stessa importanza
I principali sistemi socio-sanitari italiani si
stanno già muovendo verso l'adozione di
standard per la sicurezza delle informazioni
Aisis - 2013
Associazione Italiana Sistemi Informativi in Sanità
Valutazione del Valore derivante dall’utilizzo di ICT in Sanità
Riferimenti e Contatti
 Quaderni CLUSIT
http://www.clusit.it/download/
 UNINFO
http://www.uninfo.it
 ISO
http://www.iso.org
[email protected]
Aisis - 2013