TSE'den 'Sağlık Bilgi Sistemleri Standardı' çalışması
Türk Standardları Enstitüsü tarafından, sağlık bilişimi alanındaki uygulamaların asgari güvenlik ihtiyaçlarının belirlenmesi ve özellikle hasta bilgilerinin güvenli şekilde saklanması için kullanıcı profillerinin sınırlarının çizilmesi amacıyla 'Sağlık Bilgi Sistemleri Standardı oluşturuluyor.
Ulaştırma, Denizcilik ve Haberleşme Bakanlığı, siber güvenlikle ilgili alınacak önlemleri belirlemek ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla kamu ve özel sektörden ve üniversitelerden uzmanların katılımıyla Siber Güvenlik Kurulu oluşturdu. Kurulun Resmi Gazete'de yayınlamış olduğu 2013-2014 Siber Güvenlik Eylem Planı'nın 12. maddesi çerçevesinde Türk Standardları Enstitüsü (TSE), 'Sorumlu Kurum' olarak belirlendi. 12. Madde, 'Kamu kurumları tarafından kullanılan ve siber güvenlik açısından kritik öneme sahip bilgi teknolojileri ve bilgi sistemleri ürünlerinin ve bunların sahip olması gereken asgari güvenlik gereksinimlerinin belirlenmesi ve belgelendirmenin yapılmasını' öngörüyor.
TSE, belirtilen bu eylem planı kapsamında, üniversite, kamu ve özel sektör kuruluşlarından uzmanlarla bir "Siber Güvenlik Özel Komitesi" oluşturdu. Toplam 20 kişiden oluşan bu komite, özellikle kamu kurum ve kuruşlarının bilişim teknolojileri ürünlerinin asgari güvenlik gereksinimlerinin belirlendiği kritik altyapıları için "Ulusal Koruma Profili Havuzu Projesi" kapsamında çalışmalar yapıyor.
TSE'nin başkanlığını üstlendiği Siber Güvenlik Özel Komitesi'nin ilk çalışması; sağlık bilişimi alanındaki uygulamaların asgari güvenlik ihtiyaçlarının belirlenmesi ve özellikle hasta bilgilerinin güvenli şekilde saklanması için kullanıcı profillerinin sınırlarının çizilmesi amacıyla 'Sağlık Bilgi Sistemleri Standardı'nın oluşturulması oldu. Bu kapsamda, "Siber Güvenlik Özel Komitesi"nin 21 alt komitesinden biri olarak "Sağlık Bilgi Sistemleri Çalışma Grubu" oluşturuldu. Aralarında akademisyenlerin de bulunduğu 6 kişilik ekip, 1 Mayıs 2013 tarihi itibarıyla çalışmalarına başlamış olup, standart 'süreç-fonksiyonellik, güvenlik, arayüz, performans, karşılıklı işlerlik' gibi bölümlerden oluşacak. Grubun çalışmaları kapsamında, 8 Temmuz 2013 tarihinde enstitü bünyesinde 'Sağlık Bilgi Sistemleri Çalıştayı'nın ilki düzenlendi. Konu ile ilgili akademisyenlerin, kamu ve özel sektör yetkililerinin bir araya geldiği çalıştayda mevcut tablo tartışılarak, görüş ve öneriler paylaşıldı. Sürecin doğal paydaşı olan sektör temsilcilerinin çalışmalara katılım sağlaması amacı ile elektronik bir platform oluşturuldu.
Siber Güvenlik Özel Komitesi'nin çalışmaları sonucunda ortaya çıkacak olan kamu kurumlarının kritik bilişim teknoloji ürün ve sistemlerini korumaya yönelik koruma profilleri ve profillere uygun olarak üretilecek yazılımların siber güvenliği, güvenilirliği, fonksiyonelliği, TSE bünyesinde kurulan ve 2013 yılı Ocak ayı itibarıyla faaliyete geçen Yazılım Test Laboratuvarı'nda test edilecek. Bu çerçevede 6 ayda tamamlanması planlanan Sağlık Bilgi Sistemleri Standardı'nın, performans, güvenlik-sızma, fonksiyonel, penetrasyon testlerinin de TSE Yazılım Test Laboratuvarı'nda yapılması planlanıyor.
TSE Yazılım Test Laboratuvarı'nda, TS 13298 Standardı kapsamında Elektronik Belge Yönetim Sistemleri (EBYS) yazılımlarının performans ve TS ISO/IEC 25051 Standardı kapsamında fonksiyonel testleri yapılabiliyor. Laboratuvar, kamu kurum ve kuruluşlarında kullanılan EBYS yazılımlarının performansının ve fonksiyonelliğinin bağımsız bir göz tarafından incelemesinin yapılmasını ve üreticinin iddia ettiği beyanların doğruluğunun ölçülmesini sağlıyor.