[PENDING] Μελέτη εφαρμογής ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) κατά ISO 27001:2013 και ISO 27799:2016

(1)

Σχολή Θετικών Επιστημών & Τεχνολογίας

Διαχείριση και Τεχνολογία Ποιότητας

Διπλωματική Εργασία

Μελέτη εφαρμογής ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) κατά ISO 27001:2013 και ISO 27799:2016

σε δημόσια νοσοκομεία. Ευκαιρίες και δυσκολίες στην εφαρμογή του.

Κωνσταντίνος Μπακάλης

Επιβλέπων καθηγητής: Φώτιος Μηλιένος

Πάτρα, Ιούλιος 2019

(2)

Κων/νος Μπακάλης, Μελέτη εφαρμογής ενός ΣΔΑΠ κατά ISO 27001:2013 και ISO 27799:2016 σε δημόσια νοσοκομεία.

Ευκαιρίες και δυσκολίες στην εφαρμογή του.

Η παρούσα εργασία αποτελεί πνευματική ιδιοκτησία του φοιτητή («συγγραφέας/δημιουργός») που την εκπόνησε. Στο πλαίσιο της πολιτικής ανοικτής πρόσβασης ο συγγραφέας/δημιουργός εκχωρεί στο ΕΑΠ, μη αποκλειστική άδεια χρήσης του δικαιώματος αναπαραγωγής, προσαρμογής, δημόσιου δανεισμού, παρουσίασης στο κοινό και ψηφιακής διάχυσής τους διεθνώς, σε ηλεκτρονική μορφή και σε οποιοδήποτε μέσο, για διδακτικούς και ερευνητικούς σκοπούς, άνευ ανταλλάγματος και για όλο το χρόνο διάρκειας των δικαιωμάτων πνευματικής ιδιοκτησίας. Η ανοικτή πρόσβαση στο πλήρες κείμενο για μελέτη και ανάγνωση δεν σημαίνει καθ’ οιονδήποτε τρόπο παραχώρηση δικαιωμάτων διανοητικής ιδιοκτησίας του συγγραφέα/δημιουργού ούτε επιτρέπει την αναπαραγωγή, αναδημοσίευση, αντιγραφή, αποθήκευση, πώληση, εμπορική χρήση, μετάδοση, διανομή, έκδοση, εκτέλεση, «μεταφόρτωση» (downloading),

«ανάρτηση» (uploading), μετάφραση, τροποποίηση με οποιονδήποτε τρόπο, τμηματικά ή περιληπτικά της εργασίας, χωρίς τη ρητή προηγούμενη έγγραφη συναίνεση του συγγραφέα/δημιουργού. Ο συγγραφέας/δημιουργός διατηρεί το σύνολο των ηθικών και περιουσιακών του δικαιωμάτων.

(3)

Μελέτη εφαρμογής ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) κατά ISO 27001:2013 και ISO 27799:2016

σε δημόσια νοσοκομεία. Ευκαιρίες και δυσκολίες στην εφαρμογή του.

Κωνσταντίνος Μπακάλης

Επιτροπή Επίβλεψης Διπλωματικής Εργασίας Επιβλέπων Καθηγητής:

Φώτιος Μηλιένος Λέκτορας

Πανεπιστήμιο Ιωαννίνων

Συν-Επιβλέπων Καθηγητής:

Πολυχρόνης Οικονόμου Επίκουρος Καθηγητής Πανεπιστήμιο Πατρών

Πάτρα, Ιούλιος 2019

(4)

Διπλωματική Εργασία i

Αφιερωμένη στην Μελίνα, τον Αθανάσιο και την Χαρά.

(5)

Διπλωματική Εργασία ii

Περίληψη

Στόχος της διπλωματικής εργασίας είναι να περιγράψει τον τρόπο εφαρμογής ενός Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ) σε δημόσιο νοσοκομεία της Ελλάδας, να πραγματοποιηθεί μία καταγραφή της σημερινής κατάστασης στα νοσοκομεία την Ελλάδας και να εξεταστεί το μέγεθος της προσπάθειες που απαιτείται για την εφαρμογή ενός ΣΔΑΠ. Επιπλέον γίνεται μία καταγραφή των δυσκολιών και των ευκαιριών που παρουσιάζονται σχετικά με την εφαρμογή του ΣΔΑΠ. Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών που επιλέχθηκε είναι αυτό που περιγράφεται στο πρότυπο ISO/IEC 27001:2013. Ο διεθνής οργανισμός πιστοποίησης (ISO), αναγνωρίζοντας τη σημαντικότητα της ασφάλειας των πληροφοριών υγείας, δημοσίευσε ένα ξεχωριστό πρότυπο για τον τομέα της υγείας, το ISO 27799. Το πρότυπο αυτό περιγράφει πρακτικά μέτρα ασφάλειας ασφάλειας πληροφοριών για οργανισμούς παροχής υπηρεσιών υγείας, μεταξύ αυτών και νοσοκομεία.

Η εργασία αποτελείται από τρία μέρη. Στο πρώτο μέρος της εργασίας περιγράφονται βασικές έννοιες σχετικά με την ασφάλεια πληροφοριών, όπως ο ορισμός της πληροφορίας, οι κατηγορίες απειλών της ασφάλειας των προσωπικών πληροφοριών και οι νομικές απαιτήσεις σχετικά με την προστασία των προσωπικών δεδομένων. Δίνεται ο ορισμός ενός Συστήματος Διαχείρισης και περιγράφονται περιληπτικά τα πιο διαδεδομένα πρότυπα συστήματα διαχείρισης ασφάλειας πληροφοριών. Στη συνέχεια γίνεται αναφορά στη σειρά προτύπων ISO 27000 και περιγράφονται τα πρότυπα με τα οποία θα ασχοληθεί η συγκεκριμένη εργασία. Αναλύεται η αλληλεπίδραση ενός ΣΔΑΠ με άλλα πρότυπα διαχείρισης του παγκόσμιου οργανισμού πιστοποίησης, όπως το ISO 9001 και το ISO 14001 και γίνεται μια ανασκόπηση της εξάπλωσης των προτύπων αυτών στον ελλαδικό χώρο.

Στο δεύτερο μέρος περιγράφονται οι απαιτήσεις του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών, όπως περιγράφονται στο πρότυπο ISO/IEC 27001:2013. Ακόμα, αναλύονται τα μέτρα ασφάλειας που περιγράφοντα στο πρότυπο ISO 27799:2016 και γίνεται μία σύγκριση με το πρότυπο ISO/IEC 27002:2013. Η μέθοδος εφαρμογής ενός ΣΔΑΠ σε νοσοκομεία περιγράφεται αναλυτικά στο πέμπτο κεφάλαιο της εργασίας. Βασισμένο στον κύκλο ποιότητας PDCA (Plan-Do-Check-Act) περιγράφονται αναλυτικά τα βήματα για την επιτυχή εφαρμογή του ΣΔΑΠ σε δημόσιο νοσοκομείο.

(6)

Διπλωματική Εργασία iii

Μια πρώτη καταγραφή των ευκαιριών και των εμποδίων εφαρμογής και λειτουργίας ενός ΣΔΑΠ γίνεται στην αρχή του τρίτου μέρους. Στη συνέχεια αναλύονται τα ευρήματα από την έρευνα σχετικά με την ασφάλεια πληροφοριών σε δημόσια νοσοκομεία της Ελλάδας και ακολουθούν τα συμπεράσματα.

Λέξεις – Κλειδιά

Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, Ασφάλεια Πληροφοριών, ISO/IEC 27001, ISO 27799.

(7)

Διπλωματική Εργασία iv

Abstract

The goal of this diploma work is to describe the implementation of an Information Security Management System (ISMS) according to ISO/IEC 27001:2013, to estimate the effort, to record the opportunities and barriers regarding the implementation and to analyse the current information security level in Greek public hospitals. The International Organization for Standardization, recognising the importance of health information security, published the supplementary standard ISO 27799:2016 which describes a code of practice for information security controls in health organisations, such as hospitals.

This work consists of three parts. The first part describes basic concepts about information security, such as the definition of information and management systems, the threats of personal data information, the legal obligations related to personal data protection and the most frequent used Information Security Management Systems. Furthermore the ISO 27000 family of standards is presented and the standards used for the implementation of an ISMS in public hospitals. Finally the interaction of information security management system to other management systems of the International Organization for Standardization, such as the ISO 9001 and the ISO 14001 and the actual spreading of these managements systems in Greece are analysed.

The second part describes the requirements of the ISMS, as there are listed in the ISO/IEC 27001:2013 standard. Also the control measures of the ISO 27799:2016 are analysed and a comparison to the control measures of the ISO/IEC 27002:2013 is performed. The method of implementation of an ISMS in public hospitals is described in detail in the fifth chapter of this document. The implementation is based on the PDCA cycle and all the necessary steps for a successfully application are given.

Opportunities and barriers of the implementation of the ISMS are listed in beginning of the third part, following by an analysis on research finding according to the data security in Greek public hospitals and finally there are the conclusions.

Keywords

Information Security Management System, Information Security, ISO/IEC 27001, ISO 27799.

(8)

Διπλωματική Εργασία v

Περιεχόμενα

Περίληψη ... ii

Abstract ... iv

Περιεχόμενα ... v

Κατάλογος Εικόνων / Σχημάτων ... ix

Κατάλογος Πινάκων ... xi

Συντομογραφίες & Ακρωνύμια ... xii

1 Εισαγωγή ... 1

1.1 Πληροφορία – Πληροφορία Υγείας ... 1

1.2 Ασφάλεια Πληροφοριών ... 3

1.2.1 Γενικά... 3

1.2.2 Ασφάλεια Πληροφοριών Υγείας ... 4

1.2.3 Η κοινή γνώμη σχετικά την ασφάλεια πληροφοριών ... 5

1.3 Απειλές προσωπικών πληροφοριών ... 6

1.4 Νομικές απαιτήσεις ασφάλειας δεδομένων και πληροφοριών ... 9

1.5 Σύστημα Διαχείρισης ... 10

1.5.1 Γενικά – Σύστημα Διαχείρισης ... 10

1.5.2 Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών ... 11

1.6 Οργάνωση Δημόσιων νοσοκομείων στην Ελλάδα ... 13

1.7 Πληροφοριακό Σύστημα νοσοκομείων ... 14

2 Η σειρά προτύπων ISΟ 27000 ... 16

2.1 Τα πρότυπα της σειράς ... 16

2.2 Η ιστορία του ISO27001 και ISO27002 ... 18

2.3 Τα βασικά πρότυπα ... 19

2.3.1 ISO/IEC 27000:2018 ... 19

2.3.2 ISO/IEC 27001:2013 ... 20

2.3.3 ISO/IEC 27002:2013 ... 21

2.3.4 ISO/IEC 27005:2011 ... 22

2.3.5 ISO 27799:2016 ... 22

2.4 Αλληλεπίδραση με άλλα συστήματα διαχείρισης ... 23

2.5 Τα πρότυπα συστημάτων διαχείρισης στην Ελλάδα ... 24

(9)

Διπλωματική Εργασία vi

3 Απαιτήσεις ενός ΣΔΑΠ σε ένα νοσοκομείο ... 26

3.1 Πλαίσιο Λειτουργίας ενός νοσοκομείου ... 26

3.1.1 Το πλαίσιο λειτουργίας ενός νοσοκομείου ... 26

3.1.2 Οι ανάγκες και οι προσδοκίες των ενδιαφερόμενων μερών ... 27

3.1.3 Πεδίο εφαρμογής του ΣΔΑΠ ... 27

3.1.4 Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ... 28

3.2 Ηγεσία ... 29

3.2.1 Ηγεσία και Δέσμευση ... 29

3.2.2 Πολιτική Ασφαλείας ... 30

3.2.3 Ρόλοι, υπευθυνότητες και αρμοδιότητες ... 30

3.3 Σχεδιασμός ... 31

3.3.1 Ενέργειες για τον χειρισμό των κινδύνων και ευκαιριών ... 31

3.3.2 Στόχοι ασφάλειας πληροφοριών και σχεδιασμός για την επίτευξη τους ... 33

3.4 Υποστήριξη ... 34

3.4.1 Πόροι ... 34

3.4.2 Επάρκεια ... 34

3.4.3 Ευαισθητοποίηση ... 34

3.4.4 Επικοινωνία ... 35

3.4.5 Τεκμηριωμένες πληροφορίες ... 35

3.5 Λειτουργία ... 37

3.5.1 Επιχειρησιακός σχεδιασμός και έλεγχος ... 37

3.5.2 Αξιολόγηση κινδύνων ασφαλείας πληροφοριών ... 38

3.5.3 Αντιμετώπιση κινδύνων ασφαλείας πληροφοριών ... 38

3.6 Αξιολόγηση των επιδόσεων ... 38

3.6.1 Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση ... 38

3.6.2 Εσωτερική επιθεώρηση ... 39

3.6.3 Ανασκόπηση από τη διοίκηση ... 39

3.7 Βελτίωση ... 40

3.7.1 Μη-συμμόρφωση και διορθωτικές ενέργειες ... 40

3.7.2 Συνεχής βελτίωση ... 41

4 Τα μέτρα ασφλαλείας του ISO 27799 ... 42

4.1 Γενικά ... 43

(10)

Διπλωματική Εργασία vii

4.2 Κλάσεις ασφαλείας ... 43

4.3 Διαφορές ISO/IEC 27002 και ISO27799 ... 47

5 Εφαρμογή ενός ΣΔΑΠ σε δημόσιο νοσοκομείο ... 49

5.1 Σχεδίασε ... 50

5.1.1 Καθορισμός του πεδίου εφαρμογής και των ορίων του ... 50

5.1.2 Ανάλυση Αποκλίσεων ... 52

5.1.3 Καθορισμός της πολιτικής ασφάλειας πληροφοριών ... 52

5.1.4 Δημιουργία οργανωτικής δομής για την ασφάλεια πληροφοριών υγείας ... 55

5.1.5 Αξιολόγησης κινδύνων ... 56

5.1.6 Αντιμετώπιση κινδύνων ... 63

5.1.7 Δήλωση εφαρμογής (SoA) ... 67

5.1.8 Αποδοχή του κινδύνου και έγκριση της υλοποίηση του ΣΔΑΠ ... 67

5.2 Υλοποίησε ... 68

5.2.1 Καθορισμός σχεδίου αντιμετώπισης κινδύνων... 68

5.2.2 Κατανομή των πόρων από την διοίκηση ... 69

5.2.3 Χρήση μέτρων ασφάλειας ... 69

5.2.4 Εκπαίδευση ... 69

5.2.5 Διαχείριση λειτουργίας ... 70

5.2.6 Διαχείριση πόρων ... 71

5.2.7 Ενέργειες διαχείρισης περιστατικού ασφαλείας ... 71

5.3 Έλεγξε ... 72

5.3.1 Παρακολούθηση των διαδικασιών και μέτρων ασφάλειας ... 73

5.3.2 Τακτική ανασκόπηση του ΣΔΑΠ ... 73

5.3.3 Ανασκόπηση από την διοίκηση ... 75

5.4 Δράσε ... 75

5.4.1 Υλοποίηση βελτιωτικών μέτρων ... 75

5.4.2 Επικοινωνία ενεργειών ... 76

6 Παράγοντες που επηρεάζουν την υλοποίηση ενός ΣΔΑΠ ... 78

6.1 Απειλές - Προκλήσεις ... 78

6.2 Ευκαιρίες – Οφέλη ... 78

6.3 Δυσκολίες – Εμπόδια ... 79

6.3.1 Ανθρώπινος Παράγοντας ... 79

(11)

Διπλωματική Εργασία viii

6.3.2 Κόστος ... 81

6.3.3 Χρόνος ... 82

6.3.4 Διαδικασίες ... 82

6.3.5 Δέσμευση της διοίκησης ... 83

6.3.6 Αδυναμίες των προτύπων ... 84

6.3.7 Περιβάλλον νοσοκομείου ... 84

6.3.8 Άλλοι παράγοντες ... 85

7 Αποτύπωση της κατάστασης στα Ελληνικά Δημόσια νοσοκομεία ... 86

7.1 Δομή Ερωτηματολογίου ... 86

7.2 Δυσκολίες στην αποστολή του ερωτηματολογίου ... 88

7.3 Απαντήσεις ... 89

7.3.1 Στοιχεία νοσοκομείων ... 89

7.3.2 Ασφάλεια Πληροφοριών Υγείας ... 93

7.3.3 Μέτρα Ασφάλειας ISO 27799 ... 99

8 Συμπεράσματα ... 113

8.1 Υπερπηδώντας τα εμπόδια ... 113

8.2 Βαθμός υλοποίησης μέτρων ασφάλειας ... 115

8.3 Προτάσεις ... 115

8.4 Αντί επιλόγου ... 116

Παράρτημα Α Μέτρα Ασφάλειας για πληροφορίες υγείας κατά ISO 27799:2016 ... 118

Παράρτημα Β Ερωτηματολόγιο ... 132

Βιβλιογραφικές αναφορές ... 140

(12)

Διπλωματική Εργασία ix

Κατάλογος Εικόνων / Σχημάτων

Σχήμα 1-1 Τριάδα CIA ... 3

Σχήμα 1-2 Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών ... 12

Σχήμα 1-3 Οργανόγραμμα νοσοκομείου ... 14

Σχήμα 1-4 Ολοκληρωμένο πληροφοριακό σύστημα υγείας ... 15

Σχήμα 2-1 Η σειρά των πρότυπων ISO 27000 ... 18

Σχήμα 2-2 Χρονολογική εξέλιξη των προτύπων ISO 27001&ISO 27002 ... 19

Σχήμα 2-3 Συστήματα διαχείρισης σε πληροφορίες υγείας ... 23

Σχήμα 2-4 Πιστοποιητικά ISO9001, ISO14001 & ISO27001 στην Ελλάδα ... 25

Σχήμα 2-5 Πιστοποιητικά ISO 27001 ανά τομέα δραστηριότητας (2017) ... 25

Σχήμα 3-1 Κύκλος PDCA (πηγή: ΕΛΟΤ ΕΝ ISO 9001:2015) ... 29

Σχήμα 3-2 Αντιμετώπιση κινδύνων ... 33

Σχήμα 3-3 Ανασκόπηση από την διοίκηση ... 40

Σχήμα 3-4 Μη συμμόρφωση κα διορθωτικές ενέργειες ... 41

Σχήμα 5-1 Κύκλος ποιότητας (ISO 27799) ... 49

Σχήμα 5-2 Σχεδίαση ενός ΣΔΑΠ ... 50

Σχήμα 5-3 Πεδίο εφαρμογής ΣΔΑΠ (Humphreys, 2016) ... 51

Σχήμα 5-4 Κύκλος ζωής ανάπτυξης πολιτικής ασφάλειας πληροφοριών ... 53

Σχήμα 5-5 Οργανωτική δομή για την υλοποίηση του ΣΔΑΠ ... 55

Σχήμα 5-6 Σχέσεις μεταξύ κινδύνων και των προελεύσεων τους (ISO 27799) ... 57

Σχήμα 5-7 Διεργασία διαχείρισης κινδύνων ασφάλειας πληροφοριών (ISO/IEC 27005) ... 58

Σχήμα 5-8 Αντιμετώπιση κινδύνων (ISO/IEC 27005) ... 64

Σχήμα 5-9 Μετατόπιση κινδύνου ... 66

Σχήμα 5-10 Βήματα υλοποίησης ΣΔΑΠ (ISO 27799) ... 68

Σχήμα 5-11 Βήματα ελέγχου (ISO 27799) ... 73

Σχήμα 5-12 Βήματα δράσης (ISO 27799) ... 76

Σχήμα 7-1 Ανάλυση των συμμετεχόντων νοσοκομείων ανά μέγεθος. ... 90

Σχήμα 7-2 Υποσυστήματα ΟΠΣΥ ... 92

Σχήμα 7-3 Υπάρχει DPO; ... 95

Σχήμα 7-4 Υπάρχει CISO; ... 96

Σχήμα 7-5 Ευαισθητοποίηση χρηστών και διοίκησης ... 96

(13)

Διπλωματική Εργασία x

Σχήμα 7-6 Αποδέχεται το νοσοκομεία τις αλλαγές με ευκολία; ... 97

Σχήμα 7-7 Θα αυξήσει οποιοδήποτε ΣΔΑΠ την γραφειοκρατία στο νοσοκομείο; ... 98

Σχήμα 7-8 ΜΟ κλάσεων ανά κατηγορία νοσοκομείου ... 110

Σχήμα 7-9 Σύγκριση δ.ε μεταξύ των κατηγοριών των νοσοκομείων ... 112

(14)

Διπλωματική Εργασία xi

Κατάλογος Πινάκων

Πίνακας 1-1 Απειλές πληροφοριών υγείας κατά ISO 27999 ... 8

Πίνακας 1-2 Κατηγορίες νοσοκομείων... 14

Πίνακας 1-3 Υποσυστήματα ΟΠΣΥ ... 15

Πίνακας 4-1 Κλάσεις και κατηγορίες ασφάλειας πληροφοριών ... 47

Πίνακας 5-1 Εκτίμηση κινδύνων ... 63

Πίνακας 7-1 Πιθανές απαντήσεις τρίτου μέρους ερωτηματολογίου ... 87

Πίνακας 7-2 Συμμετοχή επί των υφισταμένων νοσοκομείων ... 90

Πίνακας 7-3 ΜΟ υπαλλήλων πληροφορικής ανά κατηγορία νοσοκομείων ... 91

Πίνακας 7-4 Χρήστες πληροφοριακών συστημάτων ... 91

Πίνακας 7-5 Συστήματα διαχείρισης κατά ISO ... 93

Πίνακας 7-6 Πλήθος απειλών ... 99

Πίνακας 7-7 Ανάλυση μέτρων ασφάλειας ... 102

Πίνακας 7-8 Μέτρα με τον μεγαλύτερο βαθμό υλοποίησης ανά μέγεθος νοσοκομείου ... 104

Πίνακας 7-9 Μέτρα με τον μικρότερο βαθμό υλοποίησης ανά μέγεθος νοσοκομείου ... 104

Πίνακας 7-10 Διαφορετικά μέτρα ασφάλειας ανά μέγεθος νοσοκομείου ... 105

Πίνακας 7-11 Kruskal-Wallis τεστ για κάθε μέτρο ασφαλείας ... 106

Πίνακας 7-12 ΜΟ των κλάσεων του πρότυπου ISO 27799 ανά μέγεθος νοσοκομείων ... 108

Πίνακας 7-13 Κατάταξη ανά κλάση ... 109

Πίνακας 7-14 Διαφορές των νοσοκομείων από το συνολικό ΜΟ όλων των κλάσεων ασφαλείας ... 110

(15)

Διπλωματική Εργασία xii

Συντομογραφίες & Ακρωνύμια

CIA Confidentiality-Integrity-Availability CISO Chief Information Security Officer COBIT Control Objective for IT

DoS Denial of Service DPO Data Protection Officer

HIPAA Health Insurance Portability and Accountability Act IEC International Electrotechnical Commission

ISMS Information Security Management System ISO International Organization for Standardization ITIL Information Technology Infrastructure Library NIS Network Information Security

SoA Statement of Applicability

ΓΚΠΔ Γενικός Κανονισμός Προστασίας Δεδομένων ΜΟ Μέσος όρος

ΟΠΣΥ Ολοκληρωμένο Πληροφοριακό Σύστημα Υγείας ΣΔΑΠ Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ΤΠΕ Τεχνολογίες Πληροφοριών και Επικοινωνιών

(16)

Διπλωματική Εργασία 1

1 Εισαγωγή

Σε έναν κόσμο που αλλάζει ταχύτερα από ποτέ και κατακλύζεται από πληροφορίες, η ασφάλεια των πληροφοριών είναι πιο επίκαιρη όσο ποτέ. Τι ακριβώς είναι η πληροφορία, πως αποκτάται, πως διαχειρίζεται και πως προστατεύεται είναι μερικά από τα ερωτήματα που θα προσπαθήσουμε να απαντήσουμε στο πρώτο κεφάλαιο.

Οι κίνδυνοι που σχετίζονται με την ασφάλεια των πληροφοριών απειλούν τον ψηφιακό κόσμο στον οποίο ζούμε. Καθώς ο κόσμος μας συνεχώς εξελίσσεται και αλλάζει, εξελίσσονται και αλλάζουν και οι κίνδυνοι της ασφάλειας των πληροφοριών (Humphreys, 2016).

Εξαιτίας της πολυπλοκότητας των πληροφοριακών συστημάτων υγείας, των διασυνδέσεων μεταξύ ιατρικών μηχανημάτων και υπολογιστών, της εύκολης πρόσβασης στους υπολογιστές αλλά και στα ιατρικά μηχανήματα, των απαρχαιωμένων συστημάτων και της μειωμένης ευαισθητοποίησης σε θέματα κυβερνοασφάλειας και ασφάλειας πληροφοριών, οι πληροφορίες και ειδικά οι πληροφορίες υγείας είναι ιδιαίτερα ευάλωτες (Coventry &

Branley, 2018).

1.1 Πληροφορία – Πληροφορία Υγείας

Παρότι χρησιμοποιούμε καθημερινά τον όρο πληροφορία, δύσκολα μπορούμε να του αποδώσουμε έναν μονοσήμαντο ορισμό. Ετυμολογικά η λέξη πληροφορία προέρχεται από τις λέξεις «πλήρης» και «φέρω».

Στην πληροφορική ορίζουμε την πληροφορία ως αποτέλεσμα της επεξεργασίας των δεδομένων, δηλαδή θεωρούμε ότι πρόκειται για επεξεργασμένα δεδομένα. Συνεπώς όταν αναφερόμαστε στην ασφάλεια των πληροφοριών, αυτόματα αναφερόμαστε και στην ασφάλεια των δεδομένων.

Σύμφωνα με τον Gillies (2011) η πληροφορία έχει τέσσερεις διαστάσεις:

1. Λειτουργική αξία. Όπως αναφέρεται και στο πρότυπο ΙSO27000. Η πληροφορία θεωρείται αντικείμενο αξίας (asset) του εκάστοτε οργανισμού. Κάθε οργανισμός οφείλει να προστατέψει οποιοδήποτε αντικείμενο αξίας διαθέτει, λαμβάνοντας κατάλληλα μέτρα ασφαλείας. Το ίδιο ισχύει και για τις πληροφορίες και τα δεδομένα.

(17)

2. Ατομική αξία. Η χρήση προσωπικών δεδομένων πρέπει να γίνεται με προσοχή και με σεβασμό της ιδιωτικότητας του ατόμου. Σε διαφορετική περίπτωση υπάρχει ο κίνδυνος ένας οργανισμός να βλάψει το συγκεκριμένο άτομο και ταυτόχρονα να βλάψει και την υστεροφημία του οργανισμού.

3. Αξία σε άλλους. Υπάρχουν τρίτα άτομα, τα οποία θα επιθυμούσαν να έχουν πρόσβαση στις πληροφορίες και να τις χρησιμοποιήσουν για άλλους (νόμιμους ή παράνομους) σκοπούς.

4. Κοινωνική αξία. Η αποκάλυψη προσωπικών πληροφοριών μπορεί να οδηγήσει στη δυσφήμιση ενός ατόμου. Έτσι αυξάνονται οι φωνές στην κοινωνία που απαιτούν τη νομοθέτηση του δικαιώματος της ιδιωτικότητας και της προστασίας των προσωπικών δεδομένων.

Οι πληροφορίες υγείας (health information) μπορεί να είναι οτιδήποτε πληροφορία που αφορά την υγεία ενός προσώπου. Τέτοιες πληροφορίες είναι για παράδειγμα η φυσική και πνευματική υγεία ή οι θεραπευτικές αγωγές ενός προσώπου. Συνεπώς στοιχεία νοσηλείας, παραπεμπτικά εξετάσεων, πληρωμές και άλλα που σχετίζονται με παρεχόμενες υπηρεσίες υγείας ή φαρμακευτικές αγωγές και μπορούν να ταυτιστούν με έναν συγκεκριμένο άτομο, αποτελούν προσωπικές πληροφορίες υγείας.

Οι πληροφορίες αυτές μπορεί να αποτελούνται από λέξεις, αριθμούς, ηχογραφήσεις, σχέδια, βίντεο ή ιατρικές εικόνες όπως ακτινογραφίες, υπέρηχους, μαγνητικές τομογραφίες και άλλα.

Οι πληροφορίες υγείας μπορεί να αποθηκεύονται σε οποιοδήποτε μέσο, έντυπο ή ηλεκτρονικό όπως επίσης μπορεί να είναι και προφορικές. Για την αποστολή τους μπορεί να χρησιμοποιηθεί οποιοδήποτε μέσο, όπως χέρι με χέρι, τηλετυπία (fax), δίκτυα υπολογιστών, παραδοσιακό ταχυδρομείο ή ταχυμεταφορές (currier). Βασική προϋπόθεση στη μεταφορά πληροφοριών υγείας είναι διασφάλιση των πληροφοριών ανεξάρτητα μέσου αποθήκευσης ή μεταφοράς (ISO 27799:2016).

Οι πληροφορίες υγείας χρησιμοποιούνται τόσο για την υγειονομική περίθαλψη του ασθενή όσο και για τη διοικητική διαχείριση των παρεχόμενων υπηρεσιών υγείας. Για το λόγο αυτό η «ποιότητα» των δεδομένων υγείας είναι ένας βασικός παράγοντας για μια επιτυχημένη υγειονομική περίθαλψη (Orel & Bernik, 2013).

(18)

1.2 Ασφάλεια Πληροφοριών

1.2.1 Γενικά

Με τον όρο ασφάλεια πληροφοριών εννοούμε την προστασία των πληροφοριών από μη εξουσιοδοτημένη πρόσβαση, χρήση, επεξεργασία, κοινοποίηση, απόκρυψη και καταστροφή των πληροφοριών (National Institute of Standards and Technology, 2013).

Σχήμα 1-1 Τριάδα CIA

(πηγή: By I, JohnManuel, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=8838636)

To πρότυπο ISO/IEC 27000 ορίζει ως ασφάλεια πληροφοριών τη διατήρηση της εμπιστευτικότητας (confidentiality), της ακεραιότητας (integrity) και της διαθεσιμότητας (availability) των πληροφοριών. Η τριάδα αυτή (Σχήμα 1-1) είναι γνωστή και ως τρίγωνο CIA (Confidentiality-Integrity-Availability). Αναλυτικότερα:

 Εμπιστευτικότητα: η προστασία από αποκάλυψη ή έκθεση της πληροφορίας σε μη εξουσιοδοτημένα άτομα ή πληροφοριακά συστήματα.

 Ακεραιότητα: ακέραια είναι η πληροφορία που είναι ολόκληρη, ολοκληρωμένη και άφθαρτη. Η ακεραιότητα απειλείται όταν εκτίθεται σε φθορά, βλάβη, καταστροφή ή αλλοίωση της αρχικής της κατάστασης.

 Διαθεσιμότητα: η προσπέλαση της πληροφορίας από ανθρώπους ή συστήματα χωρίς εμπόδια ή παρεμβολές και η ανάκτησή της με μία καθορισμένη μορφή.

Παρόλο που η παραπάνω τριάδα CIA υφίσταται τόσο στις επιχειρήσεις όσο και στις δημόσιες υπηρεσίες από την εποχή των πρώτων μεγάλων υπολογιστών (mainframes), δεν είναι αρκετή στη συνεχώς μεταβαλλόμενη εποχή μας. Έτσι προτείνεται η επέκτασή της με τα

(19)

χαρακτηριστικά της ακρίβειας (accuracy), της αυθεντικότητας (authenticity), της χρησιμότητας (utility) και της κατοχής (possession) (Whitman & Mattord, 2014).

 Ακρίβεια: πληροφορία χωρίς λάθη ή σφάλματα και με την αναμενόμενη από τον χρήστη τιμή, χωρίς ακούσια ή εκούσια τροποποίηση της.

 Αυθεντικότητα: γνήσια πληροφορία χωρίς αντίγραφα ή αναπαραγωγή, δηλαδή πληροφορία που βρίσκεται στην ίδια κατάσταση όταν δημιουργήθηκε, αποθηκεύτηκε ή μεταφέρθηκε.

 Χρησιμότητα: αναφέρεται στην αξία της πληροφορίας για κάποια χρήση ή σκοπό, δηλαδή η πληροφορία έχει αξία μόνο όταν εξυπηρετεί έναν σκοπό.

 Κατοχή: είναι η κατοχή ή ο έλεγχος της πληροφορίας. Κάποιος είναι κάτοχος της πληροφορίας όταν την αποκτά, ανεξάρτητα από τη μορφή ή άλλα χαρακτηριστικά της.

Στην εποχή μας η ασφάλεια των πληροφοριών δεν αφορά μόνο τα τεχνικά μέσα και τα πληροφοριακά συστήματα, αλλά εστιάζεται και σε επιχειρησιακά μέσα προστασίας των πληροφοριών σε όλες τους τις μορφές. Εκτός από την προστασία της εμπιστευτικότητας, ακεραιότητας και της διαθεσιμότητας, σκοπός της ασφάλεια των πληροφοριών θα πρέπει να είναι και τα επιχειρησιακά οφέλη. Οφέλη τα οποία προκύπτουν από την κοινή χρήση των πληροφοριών και τη διαχείριση των αντίστοιχων κινδύνων (Ashenden, 2008).

1.2.2 Ασφάλεια Πληροφοριών Υγείας

Οι πληροφορίες που αφορούν την υγεία ενός ατόμου, θεωρούνται από τις πιο εμπιστευτικές πληροφορίες και χαρακτηρίζονται ως ευαίσθητα προσωπικά δεδομένα. Συνεπώς ένας οργανισμός που συλλέγει και επεξεργάζεται πληροφορίες υγείας ενός προσώπου οφείλει να δώσει ιδιαίτερη προσοχή στην προστασία και ασφάλεια των πληροφοριών αυτών. Θα πρέπει να ικανοποιούνται ειδικές απαιτήσεις σχετικά με την εμπιστευτικότητα, την ακεραιότητα, τον έλεγχο και τη διαθεσιμότητα των προσωπικών πληροφοριών υγείας.

Ιδιαίτερη προσοχή πρέπει να δοθεί στην ακεραιότητα των πληροφοριών υγείας, ώστε να μην κινδυνεύσει η υγεία ενός προσώπου. Άμεσο αντίκτυπο στην αποτελεσματική παροχή υπηρεσιών υγείας έχει η διαθεσιμότητα των πληροφοριών υγείας. Έτσι σε καταστάσεις εκτάκτων αναγκών, όπως φυσικές καταστροφές, κακόβουλων επιθέσεων ή σε περίπτωση αποτυχίας του συστήματος η διαθεσιμότητα των πληροφοριών θεωρείται ιδιαίτερα κρίσιμη.

(20)

Ακόμα η άμεση διαθεσιμότητα είναι ιδιαίτερα σημαντική στα πληροφοριακά συστήματα υγείας επειδή πολλές φορές ο χρόνος ανταπόκρισης στην εφαρμογή της θεραπείας είναι κρίσιμος.

Ως προς την εμπιστευτικότητα των δεδομένων που συλλέγονται από οργανισμούς παροχής υπηρεσιών υγείας, υπάρχουν και άλλα χαρακτηριστικά που πρέπει να εξεταστούν. Η εμπιστευτικότητα των πληροφοριών υγείας δεν αφορά μόνο τα ευαίσθητα προσωπικά δεδομένα αλλά εξαρτάται και από το περιεχόμενό τους. Για παράδειγμα η διεύθυνση κατοικίας γενικά δε θεωρείται εμπιστευτική πληροφορία, αλλά εάν ο ασθενής βρίσκεται σε μία λίστα με σεξουαλικά μεταδιδόμενα νοσήματα, τότε ενδεχομένως να θεωρείται εμπιστευτική. Ακόμα ο βαθμός εμπιστευτικότητας των πληροφοριών μπορεί να αλλάζει με τον χρόνο. Έτσι στην εποχή μας η σεξουαλική προτίμηση ενός ατόμου δε θεωρείται πλέον εμπιστευτική. Συνεπώς όλες οι πληροφορίες που συλλέγονται στους οργανισμούς παροχής υπηρεσιών υγείας, πρέπει εξ ορισμού να θεωρούνται εμπιστευτικές. Ουσιαστικά μόνο το υποκείμενο των πληροφοριών μπορεί να καθορίσει ποια άλλα προσωπικά στοιχεία είναι εμπιστευτικά (Hamidovic & Kabil, 2011).

Ανεξάρτητα του μεγέθους του οργανισμού, της τοποθεσίας του και του βαθμού των παρεχόμενων υπηρεσιών υγείας, ένας οργανισμός παροχής υπηρεσιών υγείας πρέπει να διαθέτει αυστηρούς ελέγχους για την προστασία των πληροφοριών υγείας.

Αποτυχία στη προστασία και την ασφάλεια των προσωπικών πληροφοριών υγείας μπορεί να έχει ως αποτέλεσμα την ασθένεια, τον τραυματισμό ή ακόμα και τον θάνατο ενός ασθενή.

Ο κύριος σκοπός της ασφάλειας των πληροφοριών είναι η υλοποίηση κατάλληλων μέτρων για τον περιορισμό των επιπτώσεων από τις διάφορες απειλές και ευπάθειες του πληροφοριακού συστήματος.

1.2.3 Η κοινή γνώμη σχετικά την ασφάλεια πληροφοριών

Σύμφωνα με το ευρωβαρόμετρο (Ευρωπαϊκή Ένωση, 2017) της κυβερνοασφάλειας (cybersecurity) το 86% των ευρωπαίων πολιτών και το 74% των Ελλήνων πιστεύουν ότι η πιθανότητα να πέσουν θύματα ενός κυβερνοεγκλήματος αυξάνει με το πέρασμα του χρόνου.

Ακόμα το 61% των Ελλήνων πολιτών ανησυχούν μήπως πέσουν θύματα υποκλοπής της ταυτότητας (identity theft) ενώ 43% ανησυχεί για ενδεχόμενο αδυναμίας πρόσβασης σε online υπηρεσίες (τραπεζικές, δημόσιες κα).

(21)

Δυστυχώς μόνο το 56% των πολιτών πιστεύουν ότι η αστυνομία ή άλλες υπηρεσίες ασφαλείας κάνουν αρκετά ενάντια στα κυβερνοεγκλήματα.

Ευτυχώς μόνο 3% των πολιτών στην Ελλάδα έχουν βιώσει κλοπή ταυτότητας ή αδυναμία πρόσβασης σε υπηρεσίες εξαιτίας κυβερνοεπιθέσεων.

Ιδιαίτερα ανησυχητικό είναι ότι το 69% των πολιτών στην Ελλάδα πιστεύει ότι οι ηλεκτρονικές προσωπικές πληροφορίες τους δεν προφυλάσσονται αρκετά από τις δημόσιες αρχές.

1.3 Απειλές προσωπικών πληροφοριών

Στο Παράρτημα Α του πρότυπου ISO/IEC 27799:2016 περιγράφονται 25 τύποι απειλών που σχετίζονται με τις πληροφορίες υγείας (Πίνακας 1-1).

Απειλή Περιγραφή

Μεταμφίεση από εσωτερικούς συνεργάτες

(συμπεριλαμβάνεται το ιατρικό, νοσηλευτικό και λοιπό προσωπικό). Είναι η προσποίηση υπαλλήλου ότι είναι άλλο άτομο. Για παράδειγμα η χρήση λογαριασμού πρόσβασης από υπάλληλο που δεν ανήκει σε αυτόν.

Μεταμφίεση από συνεργάτες

(συμπεριλαμβάνει συντηρητές μηχανημάτων και εγκαταστάσεων, προσωπικό λογιστικής υποστήριξης, προσωπικό υποστήριξης λογισμικών και εφαρμογών και άλλων ατόμων που διαθέτουν πρόσβαση στο εσωτερικό του οργανισμού.) Πρόκειται για την κατάχρηση του δικαιώματος πρόσβασης στις πληροφορίες και την προσπέλαση μη εξουσιοδοτημένων δεδομένων.

Μεταμφίεση από εξωτερικούς

(συμπεριλαμβάνονται χακερ) Η μη εξουσιοδοτημένη πρόσβαση τρίτων (εξωτερικών) στα δεδομένα και στις υποδομές.

(22)

Μη εξουσιοδοτημένη χρήση εφαρμογών πληροφοριών υγείας

Πρόσβαση σε ιατρικές εφαρμογές ατόμων χωρίς εξουσιοδότηση, όπως για παράδειγμα η πρόσβαση σε ιατρικά μηχανήματα. Στην κατηγορία συμπεριλαμβάνονται και οι μη εξουσιοδοτημένες ενέργειες των χρηστών, όπως η εκούσια τροποποίηση δεδομένων.

Εισαγωγή κακόβουλου λογισμικού.

Η προσβολή των πληροφοριακών συστημάτων από ιούς (virus), σκουλήκια (worms) και άλλων κακόβουλων προγραμμάτων (malware).

Κακή χρήση πόρων Η χρήση πληροφοριών για προσωπικούς λόγους ή η χρήση των υποδομών για αλλότριους σκοπούς.

Διείσδυση στις επικοινωνίες

Η σκόπιμη αλλοίωση της ροής των δεδομένων στο δίκτυο, όπως για παράδειγμα μία επίδεση Denial of Service (DoS).

Υποκλοπή επικοινωνιών H πρόσβαση σε ηλεκτρονικό μήνυμα κατά την διάρκεια της επικοινωνίας.

Άρνηση Χρήστες που αρνούνται ότι έστειλαν κάποιο ηλεκτρονικό μήνυμα (repudiation of origin) ή αρνούνται ότι έχουν λάβει κάποιο ηλεκτρικό μήνυμα (repudiation of receipt)

Αποτυχία σύνδεσης Αποτυχία σύνδεσης στο δίκτυο ή στο πληροφοριακό σύστημα.

Εισχώρηση κακόβουλου λογισμικού

Στην κατηγορία αυτή συμπεριλαμβάνονται κακόβουλα ηλεκτρονικά μηνύματα και κακόβουλος κώδικας.

Λάθος δρομολόγηση Η παράδοση πληροφοριών σε λάθους αποδέκτες Τεχνική αστοχία υλικού

και υποδομής δικτύου.

Αστοχία δικτύου, υλικού ή η απώλεια των υποδομών αποθήκευσης δεδομένων.

Περιβαλλοντικές καταστροφές

Φυσικές καταστροφές και άλλες καταστροφές που μπορούν να απειλήσουν την υγεία μεγάλου αριθμού ανθρώπων.

Αποτυχία λογισμικού συστήματος ή δικτύου

Για παράδειγμα οι επιθέσεις DoS ή η λάθος διαμόρφωση λειτουργικού συστήματος.

Αποτυχία λογισμικού εφαρμογών

Η αδυναμία χρήσης του πληροφοριακού συστήματος ή εφαρμογών

(23)

Λειτουργικά σφάλματα Λάθη στον χειρισμό και στην διαχείριση των πληροφοριών.

Σφάλματα συντήρησης Λάθη που γίνονται από τους υπεύθυνους συντήρησης του υλικού και λογισμικού.

Σφάλματα χρήστη Λάθη που γίνονται από τους χρήστες του πληροφοριακού συστήματος.

Έλλειψη προσωπικού Στις ελλείψεις προσωπικούς συμπεριλαμβάνεται η απουσία υπαλλήλων που κατέχουν συγκεκριμένο ρόλο και η αδυναμία αντικατάστασής τους.

Κλοπή από εσωτερικούς Συμπεριλαμβάνει την κλοπή εξοπλισμού ή δεδομένων από υπαλλήλους του οργανισμού ή εξωτερικούς συνεργάτες.

Κλοπή από εξωτερικούς Συμπεριλαμβάνει την κλοπή εξοπλισμού ή δεδομένων από τρίτα άτομα.

Δολιοφθορά από εσωτερικούς

Ενέργειες βανδαλισμού του εξοπλισμού από άτομα τα οποία έχουν δικαίωμα πρόσβαση στον συγκεκριμένο εξοπλισμό.

Δολιοφθορά από εξωτερικούς

Ενέργειες βανδαλισμού του εξοπλισμού από άτομα τα οποία δεν διαθέτουν δικαίωμα πρόσβαση στον συγκεκριμένο εξοπλισμό.

Τρομοκρατία Ενέργειες εξτρεμιστικών ομάδων με σκοπό την καταστροφή ή την εμπόδιση της προσφοράς υπηρεσιών υγείας, την πρόκληση βλάβης υγειονομικού προσωπικού ή την διακοπή λειτουργίας του πληροφορικού συστήματος υγείας.

Πίνακας 1-1 Απειλές πληροφοριών υγείας κατά ISO 27999

Η παραπάνω κατηγοριοποίηση δεν είναι μοναδική. Πολλές έρευνες χρησιμοποιούν διαφορετικές κατηγορίες κατάταξης των απειλών πληροφοριών υγείας. Για παράδειγμα, η μελέτη των Maglogiannis and Zafiropoulos (2006) ορίζει 19 κατηγορίες, οι Samy, Rabiah, and Zuraini (2010) 22 τύπους απειλών και οι Fatima and Colomo-Palacios (2018) διακρίνουν 18 τύπους μεγάλων και μικρών απειλών. Όλοι οι παραπάνω αναφερόμενοι διαχωρισμοί διαθέτουν πολλά κοινά χαρακτηριστικά με τους 25 τύπους του πρότυπου ISO/IEC 27799:2016.

(24)

Ουσιαστικά οι παραπάνω τύποι απειλών μπορούν να κατηγοριοποιηθούν σε δύο κατηγορίες ανάλογα με την προέλευση της απειλής, σε εσωτερικές και εξωτερικές. Έτσι, στις εσωτερικές απειλές συγκαταλέγονται, μεταξύ άλλων, διάφορες συμπεριφορές των υπαλλήλων όπως η αδιαφορία, η περιέργεια, η απερισκεψία, η ανεπάρκεια, η αμέλεια, η αποκάλυψη κωδικών πρόσβασης και άλλα. Ιοί υπολογιστών, λογισμικά κατασκοπίας, κακόβουλα λογισμικά, χακάρισμα και παραβιάσεις της περιμέτρου θεωρούνται εξωτερικές απειλές (Samy, Ahmand, & Ismail, 2010).

1.4 Νομικές απαιτήσεις ασφάλειας δεδομένων και πληροφοριών

Από τις 25 Μαΐου 2018 έχει εφαρμογή σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης, ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) (ΕΕ) 2016/679, ο οποίος αντικαθιστά την Οδηγία 95/46/ΕΚ που είχε ενσωματωθεί στην Ελληνική Νομοθεσία με τον νόμο 2472/1997.

Ο κανονισμός αφορά την προστασία των φυσικών προσώπων απέναντι στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την ελεύθερη κυκλοφορία των δεδομένων αυτών.

Η Ευρωπαϊκή Ένωση έχει εκδώσει διάφορες οδηγίες σχετικά με την κυβερνοασφάλεια για βιομηχανίες συμπεριλαμβανομένης των ιατρικών μηχανημάτων και του διαδικτύου των πραγμάτων (Internet of Things). Βασικός σκοπός των οδηγιών αυτών είναι η ικανοποίηση των απαιτήσεων του νέου Γενικού Κανονισμούς Προστασίας Δεδομένων (Coventry &

Branley, 2018).

Προγενέστεροι νόμοι σχετικά με την προστασία των δεδομένων είναι (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, 2019):

 Νόμος 3471/2006 περί «Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του Νόμου 2472/97» ,

 Νόμος 3783/2009 περί «Ταυτοποίηση των κατόχων και χρηστών εξοπλισμού και υπηρεσιών κινητής τηλεφωνίας και άλλες διατάξεις»,

 Νόμος 3917/2011 περί «Διατήρηση δεδομένων που παράγονται ή υποβάλλονται σε επεξεργασία σε συνάρτηση με την παροχή διαθέσιμων στο κοινό υπηρεσιών

(25)

ηλεκτρονικών επικοινωνιών ή δημόσιων δικτύων επικοινωνιών, χρήση συστημάτων επιτήρησης με τη λήψη ή καταγραφή ήχου ή εικόνας σε δημόσιους χώρους και συναφείς διατάξεις»,

 Νόμος 4070/2012 περί «Ρυθμίσεις Ηλεκτρονικών Επικοινωνιών, Μεταφορών, Δημοσίων Έργων και άλλες διατάξεις»

Σχετικά με την ασφάλεια των πληροφοριών στα νοσοκομεία, έχει εφαρμογή και ο Νόμος 4577/2018 για την Ασφάλεια των Δικτύων και Πληροφοριών (Network Information Security – NIS). Ο νόμος ενσωματώνει στην ελληνική νομοθεσία την οδηγία 2016/11147/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και θεσπίζει μέτρα για την επίτευξη υψηλού επιπέδου ασφάλειας των συστημάτων δικτύων και πληροφοριών.

Κοινή νομική απαίτηση είναι, ο οργανισμός παροχής υπηρεσιών υγείας να υλοποιήσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, προκειμένου να διασφαλίσει τα δεδομένα και τις πληροφορίες προσωπικού χαρακτήρα.

1.5 Σύστημα Διαχείρισης

1.5.1 Γενικά – Σύστημα Διαχείρισης

Ένα σύστημα διαχείρισης είναι μια συλλογή στοιχείων, τα οποία συνδέονται μεταξύ τους και συνθέτουν ένα ενιαίο πλαίσιο λειτουργίας. Σκοπός της λειτουργίας του πλαισίου είναι η σχεδίαση, η λειτουργία, ο έλεγχος και η συνεχή βελτίωση του συστήματος. Το σύστημα περιγράφει μία συγκεκριμένη οργανωτική δομή, τις πολιτικές, οδηγίες, διαδικασίες, διεργασίες και τους πόρους που απαιτούνται για επίτευξη του στόχου του.

Ουσιαστικά όταν αναφερόμαστε σε ένα σύστημα διαχείρισης ενός αντικειμένου (πχ.

ασφάλειας πληροφοριών) περιγράφουμε όλα όσα μπορούμε να χρησιμοποιήσουμε για να καθορίσουμε συγκεκριμένους στόχους για το αντικείμενο αυτό και τον τρόπο για να τους επιτύχουμε. Για το σκοπό αυτό:

 καθορίζουμε τους στόχους σε μορφή οδηγιών,

 πραγματοποιούμε ανάλυση κινδύνων και ευκαιριών,

 αποδίδουμε ρόλους και ευθύνες,

 ερευνούμε μεθόδους και διαδικασίες,

 καθορίζουμε τη ροή των εργασιών,

(26)

 ελέγχουμε και αξιολογούμε την επίτευξη των στόχων (Kersten, Klett, Reuter, &

Schroeder, 2016).

1.5.2 Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών

Στην εποχή μας οι πληροφορίες που συλλέγονται και επεξεργάζονται από οργανισμούς θεωρούνται μεταξύ άλλων περιουσιακό στοιχείο τους (assets) και για το λόγο αυτό οφείλει κάθε οργανισμός να τις προστατεύσει κατάλληλα.

Ένα σύστημα διαχείρισης ασφάλειας πληροφοριών αποτελείται από πολιτικές, διαδικασίες, οδηγίες, πόρους και δραστηριότητες που διαχειρίζονται συλλογικά από έναν οργανισμό με στόχο την προστασία των πληροφοριών. Είναι μια συστηματική προσέγγιση για την εγκαθίδρυση, υλοποίηση, λειτουργία, έλεγχο, ανασκόπηση, συντήρηση και βελτίωση της ασφάλειας πληροφοριών ενός οργανισμού.

Το μυστικό ενός πετυχημένου συστήματος διαχείρισης ασφάλειας πληροφοριών είναι η συνεχής βελτίωση, η οποία θα επιτρέψει σε έναν οργανισμό να διαχειριστεί τις αλλαγές και τους κινδύνους των πληροφοριών. Διατηρώντας επικαιροποιημένο το συγκεκριμένο σύστημα εξασφαλίζεται η αποτελεσματική εφαρμογή διαδικασιών ελέγχου και προστασίας των πληροφοριών (Humphreys, 2016).

Το ISO/IEC 27001 είναι τo πιο διαδεδομένο σύστημα διαχείρισης ασφάλειας πληροφοριών.

Για αυτό το λόγο προτιμάται από τα υπόλοιπα συστήματα και γίνεται ευκολότερα αποδεκτό από όλα τα ενδιαφερόμενα μέρη (Susanto, Almuunawar, & Tuan, 2011) .

Υπάρχουν διάφορα πρότυπα συστήματα σχετικά με τη διαχείριση της ασφάλειας των πληροφοριών. Τα πιο γνωστά από αυτά είναι το ISO 27001, PCI-DSS, ITIL, COBIT, IT Grundschutz και το HIPPA (Σχήμα 1-2).

Το πρότυπο PCI-DSS είναι αποτέλεσμα της συγχώνευσης των πολιτικών και βέλτιστων πρακτικών των πέντε κυριότερων οργανισμών πιστωτικών καρτών, των MasterCard, Visa, American Express, Discover και JCB. Περιγράφει δώδεκα απαιτήσεις χωρισμένες σε έξι κατηγορίες. Η συμμόρφωση με το συγκεκριμένο πρότυπο είναι υποχρεωτική για όλες τις εταιρίες που επεξεργάζονται, αποθηκεύουν ή μεταδίδουν δεδομένα πιστωτικών καρτών (Campbell, 2016).

(27)

Σχήμα 1-2 Συστήματα Διαχείρισης Ασφάλειας Πληροφοριών

Όταν στη δεκαετία του ‘80 η Βρετανική κυβέρνηση αντιλήφθηκε ότι το επίπεδο των υπηρεσιών πληροφορικής ήταν ανεπαρκής, δημιουργήθηκε το πρότυπο Information Technology Infrastructure Library (ITIL). Το ITIL είναι ένα σύνολο κανόνων και πρακτικών σχετικά με την διαχείριση των υπηρεσιών πληροφορικής, των τεχνολογιών, των λειτουργιών και της ανάπτυξης εφαρμογών, με έμφαση στην ασφάλεια (Susanto, Almuunawar, & Tuan, 2011).

To Control Objective for IT (COBIT) δημιουργήθηκε από τον οργανισμό ISACA (το όνομα προέρχεται από τα αρχικά των Information System Audit and Control Association). Σήμερα το COBIT βρίσκεται στην πέμπτη του έκδοση και περιλαμβάνει μια πληθώρα από διαφορετικά εργαλεία, πηγές και οδηγίες για τη διαχείριση, επιθεώρηση και διασφάλιση ενός ΣΔΑΠ. Το COBIT 5 βασίζεται σε πέντε αρχές: ικανοποίηση των αναγκών των ενδιαφερόμενων μερών, μετατροπή ολόκληρης της επιχείρησης, εφ