...
...
...
...
...
...
| Table of Contents |
|---|
Innledning
Konfidensialitet, integritet, tilgjengelighet og kvalitet er definert i Norm for informasjonssikkerhet i helsesektoren. I tillegg stilles krav til sporbarhet i e-resept.
Identifisering, autentisering og autorisering av brukere er sentrale sikkerhetstiltak for å sikre konfidensialitet, integritet og tilgjengelighet av data og tjenester i e-resept.
I e-resept benyttes Public Key Infrastructure (PKI) for å sikre kommunikasjonens integritet og konfidensialitet, samt til å signere forsendelser digitalt for å knytte disse med sikkerhet til avsender (autentisering). Se også: PKI i e-resept.
Virksomhetssertifikater vil brukes til å signere meldingskonvolutter og til å kryptere disse.
...
Autentisering kan beskrives som det å etablere et visst nivå av tillit til en påstått identitet. I en elektronisk resept skjer autentiseringen ved elektronisk signatur (Se PKI i e-resept) og vi oppnår sterkest autentisering ved å kontrollere fødselsnummer i sertifikatet resepten er signert med mot HPR-registeret og HPR-nummer på resepten.
...
Autorisering av rekvirenter i e-resept (i Reseptformidler, hos Helfo, utleverer og LegemiddelverketDMP) bruker HPR-registeret som autoritativ kilde. Nøkkelen i dette registeret er HPR-nummeret. Hvis HPR-nummeret er autentisert, så legges opplysningene i HPR-registeret til grunn for forholdet til individet som har dette HPR-nummeret: vedkommende autoriseres da i henhold til HPR-registerets opplysninger.
...
Signering skal minst benytte SHA256 som hash-algoritme.
Se også: Signering av e-resept meldinger
Håndtering av nedetid hos CA
Reseptformidleren skal kontrollere at sertifikatet er gyldig og også slå opp hos CA og hente rekvirents personnummer for kontroll mot HPR. Et sertifikats gyldighet sjekkes mot CRL (sperreliste), mens personnummer hentes ved OCSP-oppslag online mot CA. For å sikre oppetid aksepteres at resultatet av OCSP-oppslaget caches i Reseptformidleren i inntil 24 timer.
...
Med sporbarhet menes mulighet for å følge informasjon gjennom hele levetiden og mulighet for å finne logget informasjon som gjør det mulig å rekonstruere informasjonsflyten.
Sporbarhet er også en viktig forutsetning for å kunne oppdage og håndtere uønskede hendelser i Reseptformidleren.
Sporbarhet skal sikres med en kombinasjon av tre forskjellige mekanismer som samlet gjør det mulig å rekonstruere et forløp. Disse mekanismene er:
Logging
Opprettelse av SKO
Lagring av dokumenter
Logging
Alle parter skal gjennomføre logging som er nødvendig for å overholde de regler for informasjonssikkerhet som normen for informasjonssikkerhet i Helsesektoren fastsetter.
Alle aktører skal logge alle inn- og utgående meldinger for å sikre sporbarhet av transaksjoner. Minimum skal alle aktører i forbindelse med meldingsmottak og forsendelse logge (eller på annen måte ta vare på):
Meldings-ID
Meldingspart (avsender/mottaker)
Tidspunkt
Logging i systemene skal videre sikre at eventuelt misbruk av opplysninger fra Reseptformidleren kan avdekkes. Dette stiller krav til at avsender av meldingene M9.1, M9.3, M9.11 og M10 logger hvilken bruker som sender meldingen.
I tillegg til krav om logging av meldinger og interaksjon med andre aktører er det også krav om logging av all systembruk utført av autorisert administrativt personale. Forsøk på uautorisert bruk skal også logges.
Se også
Innsyn i logg over oppslag på resepter på siden: Aktør: Pasientinnsyn på helsenorge.no
I tillegg til loggingen vil signaturkontrollobjektet (SKO) overføre viktig informasjon om reseptens signering og gyldighet.
...