Poprzedni
Następny

5. Zarządzanie danymi cyfrowymi – zabezpieczenia i zasady dostępu


  1. Model CIA (Confidentiality, Integrity, Availability)

    • Poufność (Confidentiality) – gwarantowanie, że tylko uprawnione osoby mają dostęp do danych pacjenta.

    • Integralność (Integrity) – zapewnienie, że dane nie zostały zmienione w sposób nieautoryzowany.

    • Dostępność (Availability) – zapewnienie, że terapeuta (i ewentualnie pacjent) może w razie potrzeby szybko uzyskać dostęp do danych.

  2. Warstwy zabezpieczeń

    • Fizyczna: ochrona serwera czy nośników (zamykane szafy, kontrola wejścia do gabinetu).

    • Sieciowa: firewall, sieć VPN dla pracy zdalnej, segmentacja sieci (oddzielna sieć dla urządzeń medycznych).

    • Systemowa: uwierzytelnianie dwuskładnikowe (2FA), zasady silnych haseł, regularne aktualizacje systemu operacyjnego i oprogramowania.

    • Aplikacyjna: szyfrowanie bazy danych (np. AES-256), certyfikaty SSL/TLS dla interfejsów webowych, kontrola sesji (timeout bezczynności).

  3. Role i uprawnienia

    • Zasada najmniejszych uprawnień: każdy użytkownik (terapeuta, asystent, administrator) ma dostęp tylko do tych fragmentów danych, które są mu niezbędne.

    • Grupowanie ról: np. rola „muzykoterapeuta” (dostęp do historii sesji własnych pacjentów), rola „koordynator” (podgląd statystyk, ale bez wrażliwych notatek).

    • Rejestracja zdarzeń (audit log): każdy odczyt, modyfikacja czy skasowanie danych jest logowane wraz z identyfikatorem użytkownika i znacznikiem czasu.

  4. Polityka backupów i archiwizacji

    • Regularne, szyfrowane kopie zapasowe (codziennie, cotygodniowo) przechowywane w oddzielnej lokalizacji (off-site lub chmurowej).

    • Procedura odtwarzania danych (DRP – Disaster Recovery Plan) z wyznaczonym czasem przywrócenia (RTO, Recovery Time Objective).

  5. Zarządzanie incydentami bezpieczeństwa

    • Procedura zgłaszania naruszeń (data breach) – natychmiastowe powiadomienie inspektora ochrony danych i, jeżeli wymagane, organów nadzoru.

    • Plan działania (containment, eradication, recovery) oraz analiza przyczyn (post-mortem) i wprowadzenie poprawek w systemie.

Praktyczne ćwiczenia

  1. Ćwiczenie projektowania polityki dostępu

    • Zadanie: Podzielcie się na trzyosobowe zespoły. Każdy zespół otrzymuje opis fikcyjnej przychodni muzykoterapeutycznej z kilkoma rolami (terapeuta, asystent, koordynator, administrator IT). Opracujcie tabelę uprawnień: jakie funkcje (odczyt, zapis, usuwanie) ma każda rola w systemie dokumentacji elektronicznej.

    • Cel: Zrozumienie, jak zastosować zasadę najmniejszych uprawnień.

  2. Warsztat szyfrowania i backupu

    • Zadanie: Przygotujcie na laptopach lokalny plik z danymi pacjenta (symulacja). Użyjcie narzędzia do szyfrowania (np. gpg lub VeraCrypt) do zaszyfrowania pliku i skonfigurujcie harmonogram codziennego backupu zaszyfrowanego pliku do chmury (symulacja folderu).

    • Cel: Praktyka w zabezpieczaniu i archiwizacji wrażliwych plików.

  3. Symulacja ataku i reagowania

    • Zadanie: Instruktor przeprowadza symulowany „atak” na system – np. żąda dostępu do danych spoza przydzielonych uprawnień. Uczestnicy muszą przeprowadzić procedurę zgłoszenia incydentu, zamknięcia dostępu i przywrócenia poprawnych uprawnień.

    • Cel: Nauka procedury zarządzania incydentem bezpieczeństwa i komunikacji wewnętrznej.

  4. Audyt logów

    • Zadanie: Uczestnicy otrzymują wydruk fragmentu logu systemowego (wejścia, zapisy, próby nieautoryzowanego dostępu). Mają za zadanie zidentyfikować nietypowe zdarzenia i zaproponować, czy wymagana jest eskalacja incydentu.

    • Cel: Rozwijanie umiejętności analizy ścieżek audytu i podejmowania decyzji.

  5. Plan odzyskiwania

    • Zadanie: W grupach sporządźcie uproszczony „Disaster Recovery Plan” na wypadek awarii serwera danych: określcie kroki naprawcze, kluczowe osoby, czas odtworzenia oraz testy regularne.

    • Cel: Wypracowanie świadomości konieczności nie tylko zabezpieczeń, ale też planowania ciągłości działania.

  6. Ocena ryzyka

    • Zadanie: Przeprowadźcie krótką analizę ryzyka dla scenariusza pracy zdalnej terapeuty – identyfikacja zagrożeń (praca na niezabezpieczonej sieci, niezaszyfrowany laptop), ocena prawdopodobieństwa i wpływu, dobór działań minimalizujących ryzyko.

    • Cel: Praktyka w ocenie ryzyka i wyborze adekwatnych zabezpieczeń.

Po każdym ćwiczeniu uczestnicy formułują kluczowe wnioski i wpisują je do wspólnego dokumentu — „Polityka zarządzania danymi cyfrowymi w muzykoterapii”, który następnie może być zaadaptowany w ich własnych praktykach.


Poprzedni
Następny