Standarder - KITHs nettsted
Standarder Sertifisering Publikasjoner Arrangementer Om KITH
Forside >> Samfunnsoppgaver >> Informasjonssikkerhet >> Standarder
Søk: Quick search
Sikkerhet og kommuner
ebXML og PKI
Standarder
PKI og e-signatur
Publikasjoner
Kontakter

Standarder innen informasjonssikkerhet

Organisasjon

Mye av arbeidet med informasjonssikkerhet dreier seg om å legge til rette for at organisasjoner har rutiner og systemer som sikrer at sikkerheten ivaretas og at hendelser oppdages og behandles korrekt. Standarden NS-ISO/IEC 17799:2005 "Informasjonsteknologi - Administrasjon av informasjonssikkerhet" gir anbefalinger for administrasjon av informasjonssikkerhet til bruk for dem som er ansvarlige for å opprette, iverksette eller opprettholde sikkerhetsarbeid i organisasjonen.

Ved behandling av personopplysninger er man pålagt å gjennomføre risikovurderinger. Det eksisterer en "Norsk Standard for risikoanalyse" (NS 5814). Risikovurderinger kan likevel utføres på ulike måter, og bør tilpasses det man ønsker å vurdere (objektet), omfanget og virksomhetens kompetanse og ressurser. Det er derfor utarbeidet en rekke ulike veiledninger, både av Datatilsynet, Sosial- og Helsedirektoratet og KITH.

Teknologi

Meldingsoverføring
Helsesektoren har standardisert på ebXML som rammeverk for meldingsoverføring. Rammeverket beskriver bla. hvordan meldinger skal adresseres og konvolutteres, hvordan informasjonen skal sikres vha. digital signatur og kryptering og håndterer pålitelig meldingsoverføring.

Overføringssikkerhet
Det er i hovedsak to standarder som benyttes for å sikre kommunikasjon, henholdsvis asynkron/meldingsbasert (typisk e-post) og synkron (typisk web-kommunikasjon).

  • S/MIME er en e-postbasert protokoll for kryptering og signering av meldinger. Innen helsesektoren refereres det også til ENV 13608 Del 2 : "Sikre dataobjekter", som er en profil av denne standarden for bruk i helsesektoren.
  • SSL/TLS er en protokoll som benyttes for å sikre web-tjenester vha. kryptering og autentisering av kommunikasjonspartene. Innen helsesektoren refereres det også til ENV 13608 Del 3: "Sikre datakanaler", som er en profil av denne standarden for bruk i helsesektoren.

PKI
PKI står for Public Key Infrastructure og omfatter infrastruktur og tjenester for sikring av informasjonsutveksling og tilgang til systemer:

  • elektronisk signering av dokumenter
  • autentisering (sikker identifisering) av kommunikasjonsparter eller brukere av systemer
  • sikring av integritet og konfidensialitet ved overføring/utveksling av informasjon(kryptering)
  • ikke-benekting (innholdet knyttes bindende til avsender, som regel i forbindelse med personlig elektronisk signatur)

Det eksisterer en rekke standarder innenfor PKI-området, både for å representere digitale sertifikater (x.509), digitale signaturer, krypterte dokumenter, sertifikat- og signaturvalideringstjenester osv. Sentrale standarder er:

  • X.509-standarden for sertifikater og SEID sertifikatprofiler.
  • S/MIME benyttes som format for kryptering og signering av meldinger
  • XML-Dsig benyttes som format for digital signatur på enkelte meldinger
  • LDAP benyttes som protokoll for å nå sertifikatkatalog
  • OCSP benyttes som protokoll for sertifikatstatus

Tilgangskontroll
Regler for tilgangskontroll defineres i lovverket og avgjør når og hvordan tilgang og utlevering av helseopplysninger kan finne sted. EPJ-standarden beskriver hvordan disse kravene skal implementeres i journalsystemer.
Utskriftvennlig side: