Semelhante a TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas de informacao em saude: o ponto de vista do desenvolvedor (20)
TDC2018SP | Trilha Seguranca - Normas e certificacao de seguranca de sistemas de informacao em saude: o ponto de vista do desenvolvedor
1. The Developer’s Conference
São Paulo, Julho 2018
Normas e Certificação
de Sistemas de
Segurança de
Informação em
Saúde: O Ponto de
Vista do
Desenvolvedor
Prof. Renato M.E. Sabbatini, PhD, CPHIMS,
FIAHSI
Instituto Edumed
Instituto HL7
ABNT
2. Prof.Dr. Renato M.E. Sabbatini
Graduado e doutorado pela Faculdade de Medicina de
Ribeirão Preto da USP (1965-1977), onde foi professor
assistente entre 1969 e 1993
Fundador e diretor do Núcleo de Informática Biomédica da
UNICAMP (1983-2003) e livre-docente e professor adjunto
de bioestatística e informática médica da Faculdade de
Ciências Médicas
Especialista em informática em saúde, telessaúde,
tecnologias educacionais, publicações eletrônicas,
segurança da informação e certificação de software em
saúde
Auditor-líder certificado internacionalmente
(PECB/Canadá) de Sistemas de Gestão de Segurança de
Informação pela ISO 27001.
Vice-Relator do Grupo GT4 de Segurança de Informação e
do Paciente da Comissão Especial de Estudos em
Informátice em Saúde (CEE IS 78) da Associação
Brasileira de Normas Técnicas (ABNT).
renato.sabbatini.com
3. Objetivos da apresentação
Dar uma visão introdutória e geral aos
problemas e soluções relacionados à garantia
de segurança e confidencialidade da
informação em sistemas aplicativos na área da
medicina e saúde;
Apresentar um enfoque sobre as normas e
requisitos nacionais e internacionais, e
implementação e certificação de softwares na
área da saúde (normas ISO, SBIS/CFM,
outras).
4. A evolução da
informática em saúde
O aumento da complexidade, velocidade,
recursos e, principalmente, conectividade
universal dos S-RES colocam enormes desafios
para a sua segurança;
Os riscos envolvidos na quebra de segurança
em sistemas na saúde são imensos, por
tocarem o bem-estar e até a vida de pessoas
reais;
Os problemas que a tecnologia cria, devem ser
resolvidos em grande parte por ela mesma!
4
5. Problemas específicos para a
área de saúde
Dados enormemente volumosos e intensivos;
Zero tolerância de interrupção de negócio, mesmo para
recuperação de backup;
Perda de dados irreversível sempre ocorrerá, ao
restaurar backups
Ausência de sistemas de contingência fora do software;
Grande perigo para a segurança dos pacientes: danos e
perdas de vida;
Perda de receitas;
Perda financeira com indenizações e multas;
Perda de reputação no mercado.
6. Privacidade e confidencialidade
Privacidade: o paciente é
o proprietário e tem o
controle sobre os seus
dados:
Identificação
Demográficos
Clínicos
Confidencialidade: apenas
pessoas autorizadas têm
acesso aos dados
pessoais;
6
7. Você deve pensar antes como seu
desenvolvimento impactará a segurança do
paciente!
Nenhuma informação sobre uma pessoa pode ser coletada e
armazenada digitalmente sem seu consentimento expresso por
escrito!
Nenhuma informação secundária sobre os dados de saúde de
uma pessoa pode ser comercializada, mesmo anonimizada!
Nenhuma informação de saúde pode existir apenas em estado
eletrônico se não for assinada, criptografada e protegida usando
um certificado digital padrão ICP Brasil!
Qualquer violação da confidencialidade, ou dano, mesmo que não
intencional, causado ao paciente pelo sistema de informação, é
punível por lei e passível de indenizações (e o fabricante do
software, a empresa de serviços e o médico são co-
responsáveis!)
Softwares e sistemas de serviço não certificados podem não ser
aceitos como prova em cortes de justiça!
8. Aplicabilidade da proteção (ISO)
Aplica-se a informações de saúde em todos os
seus aspectos, independentemente dos:
Formatos que tomem as informações
(palavras e números, gravações de som,
desenhos, vídeos e imagens médicas, etc.);
Meios utilizados para armazená-las
(impressão ou escrita em papel ou
armazenamento eletrônico);
Meios utilizados para transmiti-las
(manualmente, por fax, por redes de
computadores ou por correio, etc.).
11. Principais causas dos incidentes
Falta ou inadequação de políticas de segurança;
Ausência de um sistema de gestão de segurança de
informação (SGSI);
Ausência de responsáveis pela segurança da informação;
Conscientização e treinamento inadequados dos usuários;
Softwares que não seguem os requisitos de segurança;
Desconhecimento de padrões e boas práticas de
segurança;
Sistemas com autenticação frágil (não usam biometria,
encriptação forte ou certificado digital)
Infraestrutura de rede e servidores vulnerável.
11
12. Incidentes de hacking em saúde
EUA 2010-2016
Número de incidentes reportados por ano
13. Incidentes de hacking
EUA 2010-2016
Número de pacientes afetados por tipo e por ano
Ataques através da rede predominam e aumentaram enormemente
16. Legislação de proteção
Grande preocupação do governo, instituições e
consumidores com relação à confidencialidade e legalidade
do registro eletrônico de saúde;
Surgimento de legislação protetiva especial (ex. Nos EUA:
HIPAA – Health Insurance Portability and Accountability
Act);
Punições severas: multas (US$ 1 milhão por violação, até
um limite de 7 milhões, publicação e lista negra;
150.000 queixas, 47 casos condenados, US$ 67 milhões
de multas
Surgimento de programas de certificação de níveis de
garantia de segurança (opcionais ou obrigatórios)
16
17. PEP e Segurança do Paciente
Em 2007, um erro de manutenção de configuração de rede do
Department of Veterans Affairs (VA) tornou o PEP de várias de
suas instalações inacessível durante um período de mais de
nove horas.
Consultas foram conduzidas sem acesso a nenhuma documentação.
Cirurgias precisaram ser adiadas, pois os médicos estavam incertos sobre
como proceder sem a documentação apropriada
Enfermeiras processaram o hospital por danos morais!
Avaliação do banco de dados de eventos adversos da Food and
Drug Administration (FDA) revelou uma série de eventos
associados ao PEP:
Perda ou corrompimento de dados, apresentação de informações para o
paciente incorreto, indisponibilidade de acesso ao S-RES, etc.
Colaboraram para a ocorrência de problemas como atrasos no diagnóstico
ou tratamento, administração incorreta de medicação e até mesmo morte
18. Funções e conteúdo dos S-RES que
afetam a segurança do paciente
Fornecimento de funcionalidades adequadas
Identificação e seleção segura do paciente
Apoio à decisão clínica
Interface com o usuário
Garantia de interoperabilidade
Garantia de disponibilidade
Garantia de integridade
Proteção da segurança da informação
Fonte: Luiz A. Virgínio Jr., Renato M.E. Sabbatini e Ivan M. Ricarte (UNICAMP)
19. Eixos da segurança dos dados dos
pacientes
PHI: Protected Health Information
21. Enorme vulnerabilidade criada
pelos S-RES
Desenvolvedores que não conhecem ou não
aplicam as normas e boas práticas de garantia
de segurança da informação dos softwares;
Conceito enganoso que a segurança de
informação é apenas um dever do usuário (ex.:
permitir senhas fracas)
Ceder às exigências descabidas dos usuários
por um menor nível de segurança versus
facilidade de uso.
22. A solução?
Conhecer as normas nacionais e
internacionais de segurança de
informação e aplicá-las no seu sistema
Não é você que declara que está em
conformidade com essas normas:
buscar auditorias e certificações!
Demonstrar para todos os key players
do seu mercado: prevenir é melhor que
remediar!
23. Certificação de
segurança de informação
Soluções de informática
Softwares operacionais e aplicativos
Banco de dados
Processos internos (gestão de
segurança da informação):
Administração
Recursos físicos e técnicos
Processos
Recursos humanos
23
24. O software aplicativo e a
segurança da informação
O software operacional, os softwares
aplicativos e o sistema de gestão do banco de
dados devem, sempre que possível, garantir a
segurança e proteção da informação
independentemente da infraestrutura material
e humana, e dos processos;
O que não puder ser garantido por eles, deve
ser garantido pela implementação de um SGSI
em cada organização;
Políticas, conscientização, treinamento dos
usuários e documentação.
25. Áreas de proteção de dados
Servidor Aplicativo
SRES
Servidor Banco de Dados
RES
Clientes
Cópia de
Segurança
Outros
SRES
Arquivos
externos
Usuários
Importação
Exportação
Proteção dos dados
Proteção do canal
25
26. Certificação de segurança
da informação em saúde
Em todo o mundo, a certificação por auditores
independentes do grau de segurança de dados e
confidencialidade é uma exigência do mercado e
uma necessidade para a organização;
Existem diversos padrões e normas de segurança
nacionais e internacionais (ISO 27000, W3, ONC-
HIT, etc.) que servem de base para a
certificação;
No Brasil: Processo SBIS/CFM, apenas para
software, desde 2009;
Nos EUA: HIPAA, ONC-HIT, HIMSS, etc.
26
27. ISO 27001
Padrão internacional, publicado pela ISO: International
Organization for Standards;
Desenvolvido por especialistas em segurança da
informação;
Estabelece as normas para certificação de gestão de
segurança da informação;
Certificação opcional, realizada por auditorias por
entidades credenciadas;
Aplicável empresas e instituições de qualquer área ou
tamanho;
Mais de 20.000 entidades certificadas em todo o mundo.
27
28. ISO 27001
É dividida em duas partes:
Descrição de um SGSI: Sistema de Gestão de Segurança
de Informação, e seus componentes e funções;
Os objetivos de controle do SGSI (Anexo A)
Divididos em 12 áreas de controle
Todos devem estar em conformidade para ser certificado
Não especifica como os controles devem ser
implementados
ISO 27002: Práticas de implementação do SGSI
ISO 27003: Diretrizes de implementação do SGSI
28
29. A Série ISO/IEC 27.000
ISO 27000: Generalidades, definições e diretrizes
ISO 27001: Normas e requisitos para sistemas de Gestão da Segurança da
Informação (única norma certificável em segurança de dados)
ISO 27002: Boas práticas para sistemas SGSI
ISO 27003: Diretrizes para implantação de um SGSI
ISO 27004: Métricas, metas e níveis de serviço SGSI
ISO 27005: Gestão de riscos de segurança da informação
ISO 27006: Requisitos e normas para organizações de auditoria e certificação
pela ISO 27001
ISO 27007: Diretrizes para auditoria ISO 27001/2
ISO 27008: Diretrizes para auditoria de controles de SGSI
ISO 27010: Guia para a comunicação em gestão da segurança da informação
ISO 27014: Técnicas para governança da segurança da informação
ISO 27017/8: Controles específicos para computação em nuvem
29
30.
31. Sumário das normas 27799
5 Políticas de segurança da informação
5.1 Direção de gestão para a segurança da informação
6 Organização da segurança da informação
6.1 Organização interna
6.2 Dispositivos móveis e teletrabalho
7 Segurança dos recursos humanos
7.1 Antes do emprego
7.2 Durante o emprego
7.3 Rescisão e mudança de emprego
8 Gerenciamento de ativos
8.1 Responsabilidade pelos ativos
8.2 Classificação da informação
8.3 Manejo de mídias
9 Controle de acesso
9.1 Requisitos de negócios para o controle de acesso
9.2 Gerenciamento de acesso dos usuários
9.3 Responsabilidades dos usuários
32. Sumário das normas 27799
10 Criptografia
10.1 Controles criptográficos
11 Segurança física e ambiental
11.1 Áreas seguras
11.2 Equipamentos
12 Segurança das operações
12.1 Procedimentos operacionais e responsabilidades
12.2 Proteção contra malware
12.3 Cópias de segurança
12.4 Registro e monitoração
12.5 Controle do software operacional
12.6 Gerenciamento de vulnerabilidades técnicas
12.7 Considerações sobre a auditoria dos sistemas de informação
13 Segurança das comunicações
13.1 Gerenciamento de segurança de rede
13.2 Transferências de informação
33. Sumário das normas 27799
14 Aquisição, desenvolvimento e manutenção de sistemas
14.1 Requisitos de segurança dos sistemas de informação
14.2 Segurança nos processos de desenvolvimento e suporte
14.3 Dados de teste
15 Relações com fornecedores
15.1 Segurança da informação nas relações com fornecedores
15.2 Gerenciamento de entrega de serviços de fornecedores
16 Gerenciamento de incidentes de segurança da informação
16.1 Gerenciamento de incidentes e melhorias na segurança da informação
17 Aspectos da segurança da informação na gestão da continuidade dos
negócios
17.1 Continuidade da segurança da informação
17.2 Redundâncias
18 Conformidade
18.1 Cumprimento dos requisitos legais e contratuais
18.2 Avaliações de segurança da informação
34. Normatização internacional do
RES e SRES: ISO
Architecture,
Frameworks and
Models
Systems and Device
Interoperability
Semantic content
Security, Safety and
Privacy
Pharmacy and
medicines business
Networks
incorporating medical
devices
Quantities and units
in e-health
International Standards Organization
TC-215 Technical Committee of Health
Informatics
https://www.iso.org/committee/54960.html
35. ISO/IEC 27799:2013
Específico para gestão de segurança de
informação na área da saúde
É um guia de implementação das normas ISO 27001
e 2 (melhores práticas)
Maneiras de proteger confidencialidade, integridade e
disponibilidade dos registros pessoais de saúde
Implementa SGSI: Sistema de Gestão de Segurança
de Informação nas organizações de saúde
Ciclo sistêmico de gestão: planejar, fazer, verificar,
agir
Traduzida pela ABNT
35
40. Segurança de informação do
ponto de vista do desenvolvedor
Como o software aplicativo em saúde,
principalmente os Sistemas de Registro
Eletrônico de Saúde (S-RES: contém e
processa dados identificados) podem garantir a
segurança da informação e a proteção dos
dados PHI?
Quais são e onde encontro as normas,
requisitos e boas práticas para o
desenvolvimento?
Como eu posso certificar externamente o nível
de garantia de segurança do meu sistema?
41. ISO 14441: Segurança do
software
Normas de 2013 (em revisão): Health
informatics -- Security and privacy
requirements of EHR systems for use in
conformity assessment
Desenvolvida pelo TC-215 da ISO;
Boa parte desta norma embasa várias
certificações nacionais de S-RES, inclusive a do
Brasil, pela SBIS/CFM, desde 2009;
ISO/IEC 82304: Segurança dos produtos de
software
42. Componentes do S-RES para a
certificação de segurança
Aplicativo
Sistema Operacional
SGBD/Banco de Dados e conectores
Arquitetura do S-RES
(cliente/servidor, web, standalone)
Componentes do tipo web
dinâmicos(Applet, ActiveX etc.)
Sistema de diretórios (AD, LDAP etc.)
42
43. Certificação de S-RES
no Brasil
Colaboração entre a Sociedade Brasileira de Informática
em Saúde e o Conselho Federal de Medicina;
Desde 2009: disponível para S-RES na categoria
ambulatorial, e desde 2016 para outras categorias
assistenciais (LIS, RIS, etc.);
Baseado em um processo de auditoria independente e
uma lista de requisitos certificáveis;
Última versão dos requisitos: 4.2 (cerca de 360
requisitos e subrequisitos);
Renovável a cada 2 anos;
Desde 2009 foram certificados ou recertificados 55
sistemas.
44. Certificação de Software em
Saúde: Brasil
http://www.sbis.org.br/certificacao-sbis
SBIS: Sociedade Brasileira de Informática em Saúde
45.
46. Níveis de Garantia de Segurança
Certificação SBIS/CFM
NGS 1: Padrões de segurança de
informações gerais ISO. Não possibilita
a eliminação do papel, mas são
imprescindíveis para a boa prática;
NGS 2: Padrões de segurança
aumentada com o uso de encriptação e
assinatura usando o sistema de chaves
duplas. Permitem a eliminação das
mídias físicas (papel, filme, etc.)
46
47. NGS1: Nível de Garantia de
Segurança 1 SBIS Versão 4.2 (2016)
NGS1.01 - Controle de versão do software
NGS1.02 - Identificação e autenticação de pessoas
NGS1.03 - Controle de sessão de pessoas
NGS1.04 - Autorização e controle de acesso
NGS1.05 - Disponibilidade do RES
NGS1.06 – Componentes distribuídos
NGS1.07 - Segurança de dados
NGS1.08 - Auditoria
NGS1.09 - Documentação
NGS1.10 - Tempo
NGS1.12 – Privacidade
NGS1.13 – Certificado digital
NGS1.14 – Autenticação usando certificado digital
47
48. Categorias do uso de certificado
digital (NGS1 e 2) – v.4.2
NGS1.13 – Certificado digital para autenticação
NGS1.14 – Autenticação de usuário
NGS1.01 – Certificado digital para assinatura
NGS2.02 – Assinatura digital
NGS2.04 – Digitalização de documentos
NGS2.05 – Carimbo de tempo
NGS2.06 – Certificado de atributo *
NGS2.07 – Impressão de registro assinado
digitalmente
* Não tem requisitos mandatórios
48
49. CFM Nº 1.821/2007
O prontuário eletrônico deve atender aos requisitos
da Certificação SBIS-CFM com Nível de Garantia
de Segurança 2 (NGS2), para que se permita a
substituição do papel e microfilme;
Documentos em papel podem ser destruidos
depois de microfilmados ou escaneados
digitalmente, mediante termo de lavratura em
cartório;
Exigência de assinatura digital para o NGS2
segundo o Certificado Digital padrão ICP-Brasil,
incorporado a um e-CPF ou CRM Digital.
49
50. Situações onde usar o
certificado digital na saúde
Na identificação e autenticação do usuário: login
no sistema, reautenticação em pontos críticos;
O uso da mídia portátil do CD, combinado com
outros métodos, como biometria assegura de forma
eficaz a identificação, autoria, privilégios de acesso,
etc.
Na proteção de integridade e confidencialidade no
armazenamento (BD) e transmissão (rede) dos
dados identificados de pacientes;
Na identificação de autoria e responsabilidade
profissional irretratável nas contribuições ao PEP
(anamnese, prescrições, pedidos, evolução,
laudos, etc.);
Na limitação a quem tem o direito de acesso às
informações identificadas e confidenciais.
50
51. Legalidade dos requisitos
Para o reconhecimento jurídico é fundamental
a adoção do padrão ICP-Brasil;
Para o reconhecimento do CFM e CFO, e
redução dos riscos da instituição, é
fundamental a aderência aos requisitos NGS2
da SBIS;
A certificação pelo processo de auditoria
SBIS/CFM é a única forma aceita de verificar se
os requisitos NGS2 foram implementados
adequadamente (auto-declaração não é
válida).
51
52. Justificativas para o uso dos
certificados digitais em saúde
A documentação clínica e administrativa que nasce e permanece
eletrônica não tem garantia de autenticação, integridade e
confidencialidade, e não pode ser periciada;
Os requisitos de NGS1 não são suficientes, tecnicamente, para
assegurar isso (registros eletrônicos de dados podem ser alterados
facilmente);
Portanto, juridicamente é inaceitável como prova e evidência, que
registros de saúde identificados não sejam protegidos de uma forma
tecnicamente eficaz;
Além disso, a segurança do paciente pode ser comprometida com a
alteração e remoção de seus dados, uso malicioso, etc.;
Consequência lógica: a transmissão e o armazenamento de dados em
forma puramente eletrônica precisam ser protegidos, identificados e
autenticados;
O uso da assinatura digital é a única tecnologia aceita para dar essa
garantia aos SRES.
52
53. Garantias de Segurança no
Desenvolvimento do Software
Antes de iniciar o desenvolvimento, estudar as normas e
requisitos da SBIS para certificação (mesmo que não
pretenda obtê-la);
O desenho lógico do software já deve contemplar todos
requisitos mandatórios (versão 4.2), que devem ser
testados exaustivamente após a implementação;
Parametrizar extensamente os níveis de segurança,
através de módulos de configuração e com parâmetros
armazenados no BD;
Os aplicativos com Registros Eletrônicos de Saúde (RES)
puramente eletrônicos deverão utilizar autenticação do
usuário e assinatura digital usando padrão ICP-Brasil no
BD e nos arquivos derivados;
54. Algumas Implementações
Obrigatórias
Autenticação forte ou super-forte (biométrica, com token digital, de
dois níveis, senhas super-fortes);
Criptografia das senhas no BD (mínimo 256 bits);
Criptografia do BD (dados de identificação);
Segurança SSL e JDBC das comunicações cliente/servidor e
servidor/servidor;
Gestão de acessos e papéis/perfis de usuários;
Trilha de auditoria mandatória e protegida;
Cópias de segurança controladas pelo aplicativo e/ou SGBD;
Teste de integridade de cópias de segurança;
Usuários e processos críticos com reautenticação;
Usuários de TI autenticados por certificado digital em mídia móvel;
Extensa documentação dos processos não dependentes do software;
55. Lições Finais
É extremamente importante que as
implementações de garantia de segurança dos
dados sejam feitas ao máximo possível pelo
software aplicativo e pelo SGBD;
Controles de segurança de processos que não
dependem do software, ou que podem ser
parametrizadas pelo usuário precisam ter
restrições e ser bem documentadas;
Deve-se sempre buscar as certificações de
segurança, principalmente a da SBIS/CFM para
os S-RES.
56. O Programa EduCert
Cursos
Formação de auditores e
consultores
Consultoria de pré-auditoria
de certificação SBIS/CFM
Consultoria de
desenvolvimento e
aperfeiçoamento de SRES
Consultoria de utilização de
padrões e de
interoperabilidade;
Consultoria de preparação e
auditoria interna para ISO
27001 e 22301.
www.educert.com.br
58. EduCert: Cursos sobre Segurança da
Informação em Organizações de Saúde
Introdução à Segurança de Sistemas de
Informação em Saúde
Público 1: TI de provedores de saúde
Público 2: Gestores de provedores de saúde
Público 3: TI de desenvolvedores de sistemas
Como implementar e certificar um SGSI em
instituições de saúde ISO 27001/2/27799
Público: Segurança de TI, formação de auditores e
consultores
Curso sobre BCM: ISO 22301.
58
61. Consultoria e Auditoria de SGSI
Auditor Líder Internacional Certificado
pelo PECB/Canadá
Consultoria interna para construção do
PECB e treinamento de RH, segundo
boas práticas (ISO 27.799)
Auditoria interna para ISO 27.001 e
preparação para certificação
Emissão de atestado de conformidade
(valor de mercado).
62. Referências
Microsoft Health Common User Interface (MSCUI)
http://www.mscui.net/
ONC/HIT - Safety Assurance Factors for Electronic Health Record
Resilience (SAFER) Guides
https://www.healthit.gov/sites/default/files/onc_safer_jan302014_
ppt.pdf
Implementação de funcionalidades padronizadas definidas na
norma ISO/HL7 10781:2015 (HL7 EHR-S Funcional Model)
http://www.hl7.org/implement/standards/product_brief.cfm?product_id=26
9
Manual de Requisitos de Certificação de Sistemas de Registro
Eletrônico de Saúde SBIS-CFM v. 4.2 (2016)
http://www.sbis.org.br/certificacao-sbis
Normas da série ISO 27000
http://catalogo.abnt.org.br
63. Dados de Contato
Dr. Renato M.E. Sabbatini
Sabbatini Consultores Associados
renato@sabbatini.com
http://renato.sabbatini.com
Tel. (19) 3287-5958 99126-9684
Skype: rsabbatini
Hospitais são bons alvos porque necessitam de informações atualizadas o tempo todo.
Além disso, costumam focar pouco em segurança da informação.
ISO = International Organization for Standardization
Developed by leading information security experts – the point is, ISO 27001 is the summary of best information security practices worldwide
ISO = International Organization for Standardization
Developed by leading information security experts – the point is, ISO 27001 is the summary of best information security practices worldwide