Oferta rozwiązań dla rynku medycznego

Oferta rozwiązań dla rynku medycznego

W 2011 ustawodawca postanowił, że dokonać należy ogólnokrajowej, obligatoryjnej digitalizacji wszystkich danych medycznych, niezależnie od formy własności jednostki, która je przetwarza. W związku z tym opracowano drobiazgowe regulacje prawne dotyczące tak sposobu gromadzenia, transmisji i przetwarzania danych, jak i konkretne wskazano podmioty odpowiadające za poszczególne etapy przetwarzania danych, zakres ich udostępniania oraz zasady ochrony. Za nieprzestrzeganie poszczególnych wymogów, ze szczególnym uwzględnieniem bezpieczeństwa danych oraz ich przetwarzania, grozi odpowiedzialność karna.

Kluczowe dla tego rynku akty prawne w zakresie bezpieczeństwa to:

  1. Ustawa o ochronie danych osobowych oraz towarzyszące jej rozporządzenie MSWiA dotyczące poziomu bezpieczeństwa jakie muszą spełniać systemy i sieci w których przetwarzane są dane osobowe;
  2. Ustawa o systemie informatyzacji w ochronie zdrowia;
  3. Rozporządzenie Ministra Zdrowia w sprawie wymagań dla Systemu Informacji Medycznej;
  4. Ustawa o informatyzacji działalności podmiotów realizujących funkcje publiczne – co ważne wiążąca również dla jednostek medycznych będących własnością prywatną;
  5. Rozporządzenie Ministra Zdrowia w sprawie Systemu Ewidencji Zasobów Ochrony Zdrowia.

Szczególnie ważne dla jednostek medycznych jest wprowadzenie procedur oraz dokumentów wymaganych przez rozporządzenie wykonawcze MSWiA do ustawy o ochronie danych osobowych. Rozporządzenie to precyzyjnie określa zakres dokumentów jakie należy wytworzyć, oraz wymogów natury organizacyjnej jakich należy dopełnić, aby dany system zyskał uprawnienia do przetwarzania danych wrażliwych, przez co rozumie się dane medyczne. 

Sporządzenie odpowiednich dokumentów, oraz prowadzenie procedur nie wyczerpuje zakresu obowiązków kierujących placówka medyczną. Należy bowiem również zadbać o ciągły, nieprzerwany pomiar poziomu bezpieczeństwa eksploatowanych systemów i sieci.

Outsourcing i odpowiedzialność w działalności medycznej

Elementem niepewności wprowadzanym do działalności medycznej jest coraz częstsze stosowanie outsourcingu (bądź zbliżonych funkcjonalnie rozwiązań natury formalnej). W modelu tym jednostka medyczna eksploatuje oprogramowanie oraz systemy firm trzecich, które zobligowane są do zapewnienia stosownego poziomu bezpieczeństwa. 

Co do zasady jednak, zgodnie z wymogami prawa, za wszelkie problemy oraz naruszenia bezpieczeństwa odpowiada jednostka medyczna, mając jedynie prawo regresu (z wyłączeniem wszak odpowiedzialności karnej) na podwykonawcę. Konsekwencje wystąpienia błędów bądź naruszeń bezpieczeństwa obciążają zatem w sposób oczywisty jednostkę medyczną.

Dla tego też krytyczne dla jednostki medycznej jest zapewnienie monitorowania efektywności i rzetelności działania podwykonawców. Dostarczane przez OpenBIZ rozwiązania zapewniają:

  • ciągły, zautomatyzowany nadzór nad poziomem bezpieczeństwa systemów dostawców zewnętrznych;
  • weryfikację wywiązywania się przez dostawców z ich obowiązków, w tym: 
    • instalacji aktualizacji oprogramowania systemowego;
    • usuwania odkrytych podatności bezpieczeństwa;
    • stosowania się do narzuconych prawem i normami wymogów bezpieczeństwa w trakcie instalacji oraz aktualizacji oprogramowania.

Pomiar i analiza ryzyka

Rzetelny i wiarogodny pomiar oraz analiza ryzyka systemów teleinformatycznych stanowi jeden z najtrudniejszych elementów zarządzania jednostką medyczną. O ile kierownictwo jednostki ma pełne kompetencje w zakresie medycznym, finansowym i zarządczym, o tyle nie zawsze uzyskuje odpowiedni poziom wsparcia informacyjnego od służb informatycznych. Prowadzi to do nieadekwatnego, nadmiarowego budżetowania oraz do powstawania w eksploatowanych systemach zagrożeń bezpieczeństwa mających istotny wpływ na ogólny profil ryzyka jednostki medycznej. 

Prawidłowa implementacja oferowanych przez OpenBIZ rozwiązań pozwala władzom jednostki medycznej nie tylko na trafne i rzetelne zarządzanie ryzykiem operacyjnym, ale również na efektywny wgląd w zakres niezbędnych do lokacji środków budżetowych, tak aby nakłady inwestycyjne na zabezpieczenie teleinformatyczne były nie wyższe, niż niezbędne.

Dostarczane przez OpenBIZ rozwiązania zapewniają:

  1. Stały, zautomatyzowany pomiar poziomu bezpieczeństwa wszystkich eksploatowanych przez jednostkę medyczną systemów, to jest: 
    • komputerów i serwerów biurowych, recepcyjnych, kadrowych;
    • komputerów i serwerów personelu medycznego służących do obsługi pacjenta;
    • komputerowych systemów  diagnostyki medycznej;
    • komputerowych systemów laboratoryjnych;
    • systemów komputerowych realizujących nadzór nad bezpieczeństwem, w tym obsługę kamer przemysłowych, systemów kontroli dostępu itd.
  2. Wizualizację poziomu ryzyka operacyjnego, pozwalająca na dokonanie szybkiej oceny przez kierownictwo jednostki medycznej bez konieczności wnikania w szczegóły natury technicznej;
  3. Efektywną analizę ryzyka teleinformatycznego w postaci oczekiwanej przez kadrę zarządczą, to jest syntetycznych zestawień oraz map ryzyka.

Scenariusze wdrożeniowe

Poniżej przedstawiono konkretne scenariusze wdrożeniowe dla poszczególnych rodzajów jednostek medycznych, w zależności od zakresu ich działania terytorialnego oraz poziomu zaawansowania eksploatowanych przez nie systemów teleinformatycznych.

Mała jednostka medyczna

Przez mała jednostkę medyczną  rozumie się placówkę spełniają następujące kryteria:

  1. Do 30 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Bez lokalizacji zdalnych, które mają być monitorowane.

Jednostce  takiej oferujemy wdrożenie systemu Nessus w wersji podstawowej.

Średnia jednostka medyczna lub mała sieć placówek

Przez średnią jednostkę medyczną rozumie się placówkę spełniającą następujące kryteria:

  1. Do 100 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Do 7 lokalizacji zdalnych które mają być monitorowane.

Jednostce takiej oferujemy wdrożenie systemu Nessus w wersji Enterprise, oraz systemu Passive Vulnerability Scanner. Placówka taka powinna również rozważyć wdrożenie systemu Security Center, lub Security Center Continous View.

Duża jednostka medyczna lub duża sieć placówek

Przez dużą jednostkę medyczną rozumie się placówkę spełniający następujące kryteria:

  1. Powyżej 100 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Powyżej 7 lokalizacji zdalnych które mają być monitorowane.

Jednostce takiej oferujemy wdrożenie systemu Security Center Continous View jako kompleksowego rozwiązania do zarządzania bezpieczeństwem system teleinformatycznych.