Comparação de modelos formais de segurança da informação: estudo de caso do sistema de controle de registros de saúde em Unidade de Saúde da Família (USF)
| Ano de defesa: | 2015 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Dissertação |
| Tipo de acesso: | Acesso aberto |
| Idioma: | por |
| Instituição de defesa: |
Universidade Federal de São Paulo (UNIFESP)
|
| Programa de Pós-Graduação: |
Não Informado pela instituição
|
| Departamento: |
Não Informado pela instituição
|
| País: |
Não Informado pela instituição
|
| Palavras-chave em Português: | |
| Link de acesso: | https://sucupira.capes.gov.br/sucupira/public/consultas/coleta/trabalhoConclusao/viewTrabalhoConclusao.jsf?popup=true&id_trabalho=3281554 http://repositorio.unifesp.br/handle/11600/48618 |
Resumo: | A confidencialidade da informação é um dos aspectos mais importante nos dados dos sistemas de saúde e atualmente causa preocupação em muitas organizações de saúde. O Conselho Federal de Medicina na resolução CFM Nº 1821/2007 aprova normas concernentes à digitalização e uso dos sistemas informatizados para a guarda e manuseio dos documentos dos prontuários dos pacientes. A resolução CFM Nº 1.638/2002 apresenta controles de segurança obrigatórios para os Registros Eletrônicos de Saúde (RES) inseridos no prontuário médico eletrônico das Unidades de saúde da família (USF). Apesar da obrigatoriedade legal da utilização destes controles de segurança, violações de confidencialidade de pacientes continuam ocorrendo. Este projeto busca demonstrar que a aplicação de modelo de segurança formal padronizado nas Unidades de saúde da família (USF) apresentaria um modelo que adequaria a confidencialidade dos Registros de Saúde de acordo com os requisitos determinados em lei. Neste trabalho os critérios e requisitos de confidencialidade dos Registro de Saúde, são identificados pela análise e estudo de normas, boas práticas e da legislação brasileira, especificamente a constituição federal, código penal, código civil e código de processo cível. Ressalta-se que os critérios de segurança identificados na análise normativa referem-se a ?registros de saúde? incluindo os não eletrônicos, ou seja, todas as informações de pacientes são legalmente protegidas. Os requisitos legais são confrontados com os modelos formais de segurança numa matriz, contendo de um lado os requisitos legais e de outro as características do modelo de segurança, mostrando quais requisitos são atendidos por quais modelos. A comparação dos modelos busca identificar o que mais atende aos requisitos legais de confidencialidade dos registros de saúde dos pacientes de sistemas de informações em unidades de saúde de saúde da família (USF). Em levantamento efetuado na USF (unidade de saúde da família), com a responsável técnica da unidade, foi identificado o sistema de informações (o fluxo da informação) dos pacientes dentro de uma USF, e os controles aplicados para garantir a confidencialidade da informação. Posteriormente é identificado neste fluxo os pontos que, de acordo como o modelo formal escolhido devem ser alterados para obter as melhorias necessária. Sabendo inexistir segurança perfeita ou uma panaceia, este projeto busca apenas identificar os requisitos de confidencialidade exigidos pela lei e o modelo que aplicado no sistema de informação de saúde de uma USF atenda tais requisitos. Os modelos de segurança da informação mostram ?o que deve ser feito?, e não como ser feito, o ?como fazer? poderá ser objeto de outro trabalho. Será feito um levantamento de vulnerabilidade na USF (unidade de saúde da família) baseado na norma ISO 27001 o qual mostrará os pontos que exigem uma análise e maior atenção quanto à segurança da informação dentro da unidade. Também será disponibilizada pelo projeto uma modelagem do fluxo da informação de acordo com os padrões legais mínimos, a qual uma vez aplicada proporcione um ambiente controlado e mais seguro, de eventuais erros, falhas, ou quebras de confidencialidade causada por negligência, imperícia ou imprudência na manipulação das informações dos pacientes. |