Krav på informationssäkerhet hos system av klass A och på

Transcription

Bilaga 1 krav på informationssäkerhet hos system av klass A och på systemets användningsmiljöer
Gäller från och med: 1.2.2015
Gäller alla informationssystem av klass A av vilka förutsätts auditering och överensstämmelseintyg.
Begreppen ”informationssystemtjänst” och ”informationssystem” täcker informationssystemprodukter, informationssystemtjänster som tillhandahålls med olika
tjänste- eller programleasingmodeller samt sådana delar av tillämpningar eller informationssystem som uppfyller kriterierna för anslutning till klass A (också när
de används av system som inte annars själva uppfyller det aktuella kriteriet direkt)
Krav på informationssäkerhet:
- Patientdatasystem och apotekssystem och förmedlingsservice som ska kopplas till Kanta (klass A)
- Krav som hänför sig till systemens användningsmiljö (om leverantören av informationssystemtjänsten svarar för användningsmiljön, t.ex. SAAS-leverantörer)
Målgrupp för kravet:
G
Gemensamt krav för alla informationssystemtjänster som hör till klass A
AP Krav på en informationssystemtjänst som realiserar apotekssystemets funktioner
R
Krav på en informationssystemtjänst som realiserar funktioner för behandlingen av elektroniska recept
A
Krav på en informationssystemtjänst som ska kopplas till Patientdataarkivet
FÖ Krav på Kanta-förmedlingsservice
Sätt att verifiera kravet:
I
Intervju
D
Dokumentation
T
Funktionell testning
V
Validering eller teknisk kontroll (t.ex. loggar, meddelandeinstanser, rapporter som systemet producerar)
Om det i verifieringen finns flera verifieringssätt som är åtskilda med tecknet /, kan olika förfaranden användas för verifieringen beroende på situation och system.
Det förstnämnda sättet är det som rekommenderas i första hand, men även de andra kan godkännas.
#
Kriterium / kontrollmål
Krav/Kontroll
Verifiering / certifiering av
överensstämmelse med kraven
Tilläggsinformation
Elektroniska recept, makuleringar och rättelser av dem
samt rättsmedicinska utlåtanden, intyg och
motsvarande dokument ska signeras med en
yrkesutbildad persons i klientuppgiftslagen avsedda
personliga, utvecklade elektroniska signatur. Som
T: Det ska certifieras att systemet har en
funktion som erbjuder användaren
utvecklad elektronisk signering av
elektroniska recept och andra dokument
som ska signeras personligen.
Signeringen kan göras så att
signeraren kan elektroniskt
signera en och samma
patients samtliga recept
samtidigt.
Elektronisk signatur
1
G
Av elektroniska recept och
rättsmedicinska utlåtanden
ska på ett tillförlitligt sätt
framgå vem som förskrivit
receptet eller undertecknat
Krav på informationssäkerhet hos system av klass A och systemens användningsmiljöer
1
#
2
A
Krav/Kontroll
utlåtandet
certifikat ska användas yrkescertifikat för hälso- och
sjukvården.
Det ska kunna säkerställas att
dokumentet hålls oförändrat
Det ska säkerställas med elektronisk signatur att
dokumenten hålls oförändrade. Detta ska säkerställas
både vid lokal lagring och dataöverföring.
Elektroniska journalhandlingar ska signeras med en
signatur som görs av organisationen eller en
datateknisk enhet och vars tillförlitlighet motsvarar en
utvecklad elektronisk signatur, en s.k. systemsignatur.
Systemet ska till dokumentet foga beskrivande
uppgifter som motsvarar dokumentets datainnehåll.
Dokumentet (dess body-del) ska signeras för att
garantera att det hålls oförändrat. Dokumentet får inte
innehålla element som ändrar dokumentets innehåll.
En logganteckning ska göras om dokumentbildningen.
T: Systemet ska kräva signatur innan ett
recept eller rättsmedicinskt utlåtande eller
en ändring eller makulering av det sänds till
Kanta-tjänsterna.
I/D: Det ska verifieras huruvida det i
systemet finns icke-signerade dokument
som ska lagras lokalt, och hur det
säkerställs att de hålls oförändrade.
Det kontrolleras mer ingående
att det dokument som sänds
och det som tas emot
motsvarar varandra som ett
led i FPAs testning.
V/T/D/I: Det ska kontrolleras att innehållet
i ett signerat dokument överensstämmer
med det som den som gjort anteckningen
har sett
I/D: Det ska kontrolleras hur versionen av
uppgifter i annan form än dokumentform
har tillkommit och hur ändringarna har
lagrats.
V: Det ska kontrolleras att en
logganteckning uppkommer om
dokumenten.
Patientjournalen kan sammanställas och behandlas i
systemet även i annan form än dokumentform. Det ska
garanteras att en sådan patientjournal hålls oförändrad
och den ska omvandlas till ett dokument på ett
tillförlitligt sätt.
3
AP
Signering av
läkemedelsexpeditioner
Läkemedelsexpeditioner, rättelser och makuleringar av
dem samt rättelser och makuleringar av recept ska
signeras med en yrkesutbildad persons personliga,
T: Systemet har en funktion som erbjuder
användaren utvecklad elektronisk signering
genom användning av yrkescertifikat för
2
Hänvisning Lag 617/2009
Lagen om stark autentisering
och elektroniska signaturer.
#
Krav/Kontroll
utvecklade elektronisk signatur enligt
klientuppgiftslagen. Som certifikat ska användas
yrkescertifikat för hälso- och sjukvården.
hälso- och sjukvården.
Läkemedelsexpeditörens rätt att expediera läkemedlet
ska ha certifierats före signeringen.
En farmaceut och en provisor ska kunna (men är inte
tvungen att) elektroniskt signera en och samma
patients samtliga läkemedel som expedierats samtidigt.
T: Systemet ska kräva elektronisk signatur
innan expedieringen eller rättelsen
godkänns eller makuleras.
D/T/I: Rättigheterna ska kontrolleras före
signeringen.
Man kan också ha beslutat att
en funktion som gör det
möjligt att signera flera
expedieringar samtidigt inte
implementeras i systemet.
T: I systemet finns en funktion som gör det
möjligt att signera en och samma patients
samtliga recept som expedierats samtidigt.
Identifiering
(Spärrlistor, begränsning
i yrkesrättigheterna)
4
G
Identifiering av användaren
Den som använder informationssystemet ska
identifieras och verifieras entydigt. Vid identifieringen
ska hälso- och sjukvårdens certifieringstjänst och
certifikat användas. I specialfall kan
användaridentifikation och starkt lösenord användas.
I systemet får inte finnas allmänna underhålls- eller
andra motsvarande rättigheter och funktioner med
vilkas hjälp det är möjligt att använda systemet utan
entydig identifiering av användaren.
D/T: Beskrivningarna ska kontrolleras och
det prövas hur man identifierar sig i
systemet.
D: Beskrivningarna av principerna för
hantering av roller, användaruppgifter och
behörigheter och anvisningarna för
användarorganisationerna om hur de ska
följas ska kontrolleras.
T: Identifieringen testas med certifikat.
5
G
Identifiering i systemen
I produktionsmiljöerna ska inloggning i
informationssystemen tillåtas endast med certifikatkort
D/I/T: Autentiseringsmekanismerna
kontrolleras; antingen stark identifiering
3
Användning av
användaridentifikation och
starkt lösenord möjlig när
man inte söker uppgifter i
Kanta.
Användning av
användaridentifikation och
lösenord möjligt när man
använder t.ex.
måltidsbeställningssystemet,
varmed man inte har tillträde
till annan information om
patientens vård.
Lösenordets längd minst 10
tecknen, tecken från minst tre
#
Krav/Kontroll
när uppgifter i anslutning till patientens vård behandlas
eller med starkt lösenord. När inloggning sker på annat
sätt än med certifikatkort kan man använda endast
uppgifter i organisationens eget patientdatasystem.
(certifikatkort) eller starkt lösenord.
Om de som använder systemet använder lösenord ska
de vara starka och bytas regelbundet. Godtagbara
parametrar för starkt lösenord ska överensstämma med
anvisningen Sisäverkko i Vahti-anvisningarna (Vahti
3/2010 eller en nyare anvisning ska iakttas).
D/I: Det ska säkerställas att systemet inte
förmedlar starka lösenord till andra system.
kategorier, lösenordets ålder
1-90 dagar, lösenordet får inte
vara detsamma som de 5
föregående lösenorden,
lösenordet spärras efter t.ex.
fem misslyckade försök.
Exempel på starkt lösenord
Kanta-2015
D/I/T: Lösenordsparametrarna i systemet
ska kontrolleras.
I apotekssystemen används
inloggning med certifikatkort
i det skedet när förbindelse till
Receptcentret upprättas
De krav som gäller föråldrade lösenord gäller inte
lösenord i systemets tekniska upprätthållares
identifierare.
6
G
Validering av certifikat
Systemet får inte förmedla ett starkt lösenord till andra
system.
Certifikatens integritet, giltighet och huruvida de finns
på en spärrlista ska kontrolleras i BRC:s uppgifter.
Valideringen av certifikat gäller alla typer av certifikat
som används i systemen: yrkescertifikat,
personalcertifikat, aktörscertifikat, servercertifikat och
systemsignaturcertifikat.
7
G
Kontroll av yrkesrättigheter
och begränsningar i dem
Den spärrlista mot vilken valideringen görs ska hämtas
minst en gång per dygn.
Valviras uppgifter om rättigheter att förskriva
läkemedel och om användare vilkas yrkesrättigheter är
begränsade samt om begränsningar i yrkesrättigheterna
ska kontrolleras i den meddelandebaserade
attributtjänst som Valvira upprätthåller. Om
yrkesrättigheterna är begränsade får systemet inte
D/I/T: Det ska kontrolleras att systemet
kontrollerar certifikatens integritet, giltighet
och huruvida de finns på en spärrlista i
BRC:s uppgifter.
Certifikatets integritet och
status ska alltid kontrolleras,
inte bara en gång per dygn.
D/I/T: Det ska kontrolleras att systemet
hämtar uppgifter om spärrlistor minst en
gång per dygn (eller i enlighet med BRC:s
gällande certifikatpolicy).
I/D/T: Det verifieras hur uppgifter om
användare som har rätt att föreskriva
läkemedel och om användare vilkas
yrkesrättigheter är begränsade söks i
Valviras attributtjänst minst en gång per
dygn.
4
Verifiering som sker genom
testning underlättas om det
har skapats testpersoner med
begränsningar för
auditeringen.
#
Krav/Kontroll
tillåta en inloggad användare utföra sådana åtgärder
som omfattas av begränsningarna.
Uppgifter om användare med rätt att föreskriva
läkemedel och om användare med begränsade
yrkesrättigheter ska hämtas minst en gång per dygn.
Begränsningar i en yrkesutbildad persons
yrkesrättigheter enligt Valviras uppgifter om
begränsningar ska alltid kontrolleras när användaren
identifieras (vid inloggningen) och de lagras inte
permanent i uppgifterna om behörigheter.
Om till exempel rätten att förskriva läkemedel har
begränsats i fråga om ett visst läkemedelspreparat för
en yrkesutbildad person inom hälso- och sjukvården
med rätt att förskriva recept, får systemet inte tillåta
denna person att förskriva, rätta, lägga till, makulera
(eller häva spärrningen av) sådana recept där ett
läkemedelspreparat som omfattas av begränsningen
föreskrivs.
Yrkesrättigheterna och deras giltighet för den person
som expedierar ett recept ska kontrolleras i Valviras
uppgifter före den elektroniska signeringen.
I/D/T: Det ska verifieras hur begränsningar
i användarens yrkesrättigheter alltid
kontrolleras i samband med att användaren
loggar in.
D/I/T: Det ska verifieras hur användarens
yrkesmässiga begränsningar inverkar på
användningen av systemet.
D/I/T: Det ska verifieras hur systemet
begränsar åtgärderna i anslutning till recept
för användare med begränsade
yrkesrättigheter.
D/I/T: Det ska verifieras hur systemet visar
användaren icke-programmässiga uppgifter
om begränsningar.
D/I/V: Det ska verifieras hur systemet gör
en logganteckning om ickeprogrammässiga uppgifter om
begränsningar.
Icke-programmässiga uppgifter om begränsningar ska
visas för användaren och en logganteckning om dem
ska bli kvar.
5
#
Krav/Kontroll
Verifiering / auditering av
Systemet ska göra det möjligt att tilldela behörigheter
för olika funktioner, enligt användargrupp och
arbetsroll i enlighet med systemets
användningsändamål. Funktioner som hänför sig till
Kanta ska begränsas enligt användargrupp och på
grundval av användarnas arbetsroll. Endast de personer
som har getts behörighet kan använda funktionerna i
fråga.
D/I/T: Det ska kontrolleras hur behörigheter
skapas i systemet och använder systemet i
första hand de gränssnitt som Valvira
erbjuder vid kontroll av yrkesrättigheter.
Det ska kontrolleras att systemet gör det
möjligt att begränsa funktionerna till de
nämnda användargrupperna och
arbetsrollerna.
Det ska i själva systemet
finnas möjlighet att hantera
behörigheterna på det sätt
som dessa krav förutsätter,
eller så ska kraven uppfyllas
med hjälp av ett externt
system, t.ex.
behörighetshanteringssysteme
t IAM.
Systemet kräver inte omfattande behörigheter för att
fungera.
D/I/T: Det ska kontrolleras i systemet att
där kan specificeras olika behörigheter,
användargrupper och arbetsroller.
Behörighetshantering
8
G
9
G
Behörighetshantering
Studerandes rättigheter att
registrera anteckningar
I systemet ska finnas funktioner som hanteringen av
undantagssituationer förutsätter och med vilka
behörigheten tillfälligt kan förbigås (betyder att någon
åtgärd kan vidtas med t.ex. huvudanvändarens
behörighet fast åtgärden inte hör till huvudanvändarens
arbetsuppgifter).
Åtgärden och den som vidtagit den ska ändå
specificeras och registreras på ett tillförlitligt sätt.
Uppgifter om situationer där behörigheterna förbigås
ska fås från systemet t.ex. i en separat förteckning, för
vars hantering det finns anvisningar om i
användarmiljöns informationssäkerhetspolicy.
Studerande kan göra anteckningar i patientjournaler. I
patientdatasystemet ska det finnas en funktion för att
godkänna anteckningar som gjorts av studerande.
T+V: Behörigheterna ska testas i en
verklighetsliknande situation.
Funktionaliteten i situationer där
behörigheterna förbigås samt
logganteckningarna ska kontrolleras (V).
T/V: Det ska kontrolleras hur uppgifter om
situationer där behörigheterna förbigås fås i
en separat förteckning.
T: Det ska kontrolleras att det finns en
funktion för att godkänna studerandes
anteckningar.
Studerandes anteckningar kan godkännas som en
helhet per dag.
Dessa krav ska uppfyllas på
olika sätt i olika typer av
system. I föreskriften om
krav på informationssäkerhet
sägs: ’Om kravet inte är
relevant för den
informationssystemtjänst som
ska bedömas, ska detta
nämnas jämte motivering’
6
Enligt 6 § i förordningen om
journalhandlingar får
studerande göra anteckningar
i journalhandlingar när de är
verksamma i legitimerade
yrkesutbildade personers
uppgifter. I behörigheterna
#
Krav/Kontroll
antecknas då rollen som
yrkesutbildad person, och
dessa anteckningar behöver
inte kontrolleras. Under en
arbetspraktikperiod har den
studerande rollen som
studerande, han eller hon ska
ha rollen som studerande i
behörigheterna och en
yrkesutbildad person inom
hälso- och sjukvården ska
godkänna anteckningarna
separat.
10
G
Huvudanvändares och
tekniska stödpersoners
rättigheter till Kanta
Huvudanvändare har rätt att granska den egna
organisationens uppgifter i Kanta i felsituationer.
Producenten av en informationssystemtjänst har rätt att
i felsituationer granska den organisations uppgifter i
Kanta för vars räkning systemexperterna arbetar under
utredningen.
11
G
Förhindrande av
standardidentifierare
Behörigheter till informationssystem ska genomföras
så att Kanta-rättigheterna begränsas i ovannämnda
felsituationsutredning till sökning av endast egna
uppgifter. Alla sökningar som gjorts under utredningen
ska synas i loggarna.
I systemen får inte finnas aktiva standardidentifierare
och andra standardinställningar som är dåliga med
tanke på informationssäkerheten.
Om standardidentifierade till någon del inte kan
avlägsnas ur systemet, ska standardidentifierarna eller
deras lösenord bytas om möjligt.
D/I/T: Huvudanvändarnas och
informationssystemexperternas rättigheter
till patientdatasystemet och Kantatjänsterna ska kontrolleras.
T/D/V: Det ska säkerställas att de sökningar
som gjorts under utredningarna syns i
loggarna.
D/I: Det ska kontrolleras hur det har
säkerställts att aktiva standardidentifierare
eller andra dåliga standardinställningar inte
finns i systemet eller hur det har getts
anvisningar om detta.
7
#
Krav/Kontroll
Det ska säkerställas att logguppgifterna hålls
oförändrade.
D: Det ska kontrolleras hur systemets
loggmiljö har genomförts.
Anvisningar för behandling
av logguppgifter Vahti
3/2009.
Checklista, bilaga 1.
Övervakning och
loggar
12
G
Oförändrade logguppgifter
Kravet gäller användningsloggen och den tekniska
loggen.
Strävan ska vara att
säkerställa att de personer
som är föremål för
övervakning inte kommer åt
att ändra logguppgifterna.
Systemet ska göra det möjligt att säkerställa att
logguppgifterna hålls oförändrade antingen på
systemnivå eller genom organisationens egna åtgärder.
Systemet ska göra det möjligt att utplåna
logguppgifter.
13
G
Användningslogg
Informationssystemet upprätthåller en
användningslogg med tillräckligt detaljerade uppgifter
i fråga om sökning och användning av uppgifter (t.ex. i
situationer där systemet söker mera information i
receptcentret eller arkivet än vad som visas användaren
när bassystemet filtrerar uppgifter).
D/V: Systemets logginställningar och
specifikationsmöjligheter ska kontrolleras
och ett utdrag ur logguppgifterna ska gås
igenom. Det ska säkerställas att kraven är
uppfyllda antingen i den logginformation
som systemet producerar eller i
dokumentationen.
De närmare kraven på användningsloggar beskrivs i
dokumentet ’Potilastietojärjestelmien käyttötapaukset’
bilaga 5 Vaatimukset käyttölokeille
Systemets huvudanvändares och upprätthållares alla
åtgärder i anslutning till behandlingen av klient- och
patientuppgifter i systemet ska loggföras.
Användningsloggen ska sparas minst 12 år.
8
Tills vidare krävs inte t.ex.
icke-raderbart medium för att
spara logguppgifter.
Logguppgifterna utplånas när
de inte längre behövs för att
följa lagenligheten hos
användningen och
utlämnandet av
klientuppgifter.
#
14
G
Teknisk logg
Krav/Kontroll
Det ska föras logg över kommunikationen mellan
Kanta-tjänsten och kunderna. Logg ska föras i alla
system genom vilka patientuppgifter förmedlas till
Kanta.
D/V: Det ska kontrolleras att logg förs över
upprättade förbindelser.
Tekniska fel i systemet ska loggföras.
15
G
16
G
Uppföljningsverktyg för
loggarna
Nätkommunikationens
telekommunikationsprofil
I informationssystemet ska finnas ett verktyg för
uppföljning av logguppgifterna eller så ska systemet
möjliggöra anslutning av ett externt
uppföljningsverktyg.
Det ska gå att hämta loggarna för regelbunden
uppföljning och övervakning.
Nätkommunikationens normala
telekommunikationsprofil (baseline) är känd; det finns
ett förfarande för att upptäcka kommunikation som
avviker från den normala telekommunikationsprofilen;
för systemets del måste man kunna beskriva hurudan
nätkommunikation normal användning orsakar.
T/D/I: Det ska kontrolleras att i systemet
finns ett verktyg för uppföljning av
logguppgifterna, eller så ska systemet
möjliggöra anslutning av ett externt
uppföljningsverktyg.
D/I: Det ska kontrolleras hur den normala
telekommunikation som systemet
producerar har beskrivits och
dokumenterats och huruvida det har
beskrivits hur det är möjligt att upptäcka
kommunikation som avviker från den
normala telekommunikationsprofilen.
Behandling av
uppgifter
17
G
Bruksanvisningar och
direktiv
Det ska finnas nödvändiga anvisningar för användning
av systemet i enlighet med användningsändamålet
samt för installation och underhåll av det.
Anvisningarna ska motsvara den version som används.
Om anvisningarna är avsedda att uppdateras eller
kompletteras användningsmiljöspecifikt, ska det finnas
klara anvisningar om uppdateringen eller
kompletteringen.
D: Man ska bekanta sig på bruks-,
installations- och underhållsanvisningarna
och kontrollera att de överensstämmer med
den systemversion som ska auditeras.
D/I: Uppdaterings-, kompletterings- och
distributionsrutiner ska klarläggas.
9
#
18
G
Lagring av hämtade
uppgifter
Krav/Kontroll
Uppgifter som hämtats från patientdataarkivet får
lagras i ett lokalt system under den tid som patienten
har en vårdrelation till den aktuella enheten.
Uppgifterna kan sparas som ett dokument eller lösas
upp i den form som används i det lokala systemet. När
vårdrelationen upphör ska uppgifterna kunna utplånas
oberoende av det lokala lagringssättet.
D/T/I: Det ska kontrolleras att systemet har
en funktion för utplåning av uppgifter som
laddats ner från arkivet. Funktionen ska
vara automatisk och hänföra sig till
avslutande av servicehändelsen.
Tilläggsinformation i Vahtianvisningarnas
informationssäkerhetsinställni
ng
Dokument som hänför sig till recept som hämtats i
receptcentret (bl.a. läkemedelsexpeditioner osv.) får
inte permanent (med undantag för följande särskilt
definierade undantag) lagras i informationssystemet för
social- och hälsovården.
Uppgifter som lagrats tillfälligt ska utplånas helt och
hållet omedelbart efter användningen, när de inte
längre behövs.
19
AP
Lagring av
expeditionsuppgifter om
recept
20
AP
Lagring av sökta uppgifter
Särskilt specificerade undantag:
I systemet får dock lagras sådana uppgifter som är
nödvändiga för att uppfylla de krav som ställts på
loggarna.
En läkemedelsexpedition ska ha lagrats på ett lyckat
sätt i Receptcentret innan expeditionsuppgiften skrivs
ut.
Systemet skriver ut den dekal som hänför sig till
expeditionen först när det har lagrat expeditionen på ett
lyckat sätt.
Innan läkemedlet överlämnas till köparen ska man
alltid försäkra sig om att läkemedelsexpeditionen har
lagrats i receptcentret.
Apoteket får inte lagra uppgifter som det sökt i
receptcentret i sitt informationssystem för längre tid än
vad som behandlingen av expeditionen eller något
D/I: Det ska kontrolleras att systemet inte
lagrar recept eller receptexpeditioner
permanent, med de nämnda undantagen.
D/T/I: Det ska kontrolleras att det inte är
möjligt att skriva ut expeditionsuppgiften
innan expeditionen har lagrats på ett lyckat
sätt.
T/D/I: Det ska kontrolleras att systemet har
en funktion varmed användaren kan
försäkra sig om att läkemedelsexpeditionen
har lagrats i receptcentralen innan
läkemedlet utlämnas.
D/I: Det ska kontrolleras att systemet inte
lagrar uppgifter som det hämtat (förutom
undantagen) annars än för den tid som
10
I anslutning till recept
omfattar de uppgifter som är
nödvändiga för att kraven på
loggarna ska uppfyllas
identifierare och
versionsnummer för
elektroniska recept samt nya
versioner av recept som
skapats med
patientjournalsystem och
makuleringsuppgifter, om
dessa har upprättats med
något annat
patientjournalsystem eller
apotekets informationssystem.
#
21
AP
Visning av uppgifter
22
AP
Visning av uppgifter
Krav/Kontroll
annat lagenligt syfte kräver. Undantag: Uppgifter om
identifierare och version för recept, Uppgifter som
baserar sig på författningar, så som uppgifter som
behövs för direktersättning och receptdagboken.
Uppgifter som hämtats från receptcentret ska utplånas i
apotekssystemet genast när behandlingen upphört. Inte
heller uppgifter om expeditioner i andra apotek får
lagras.
I första hand visas den nyaste versionen av recept och
endast den nyaste versionen kan behandlas
/bearbetas.
Apotekssystemet ska på ett tydligt visuellt sätt visa
uppgifter om olika versioner av receptet
(t.ex. gammal, ej giltig version).
behandlingen av expeditionen kräver.
Systemet ska på ett tydligt visuellt sätt visa användaren
statusuppgifter om receptet och expedieringen
(makulerat, spärrat, reserverat osv.) samt en utredning
som hänför sig till statusen, om det finns en sådan.
Om receptet är upptaget för expedition, reserverat,
registrerat för dosdispensering eller har spärrats av ett
annat apotek, ska systemet visa uppgifter om det
apotek som gjort reserveringen/spärrningen.
T/D/I: Det ska kontrolleras att: Systemet i
första hand visar den nyaste versionen av de
olika versionerna av ett recept som
systemet hämtar i receptcentret. Med
systemet kan endast den nyaste versionen
av receptet behandlas/bearbetas, inga andra
versioner. Systemet visar uppgifterna om
olika versioner av receptet på ett sätt som är
tydligt för användaren. Testfall:
Uppgifterna om en persons recept hämtas.
Det kontrolleras att de nämnda punkterna
sköts på behörigt sätt när svaret visas för
användaren.
T: Det ska kontrolleras att: Systemet visar
statusuppgifter om receptet och
expedieringen och en utredning som
eventuellt hänför sig till statusen tydligt för
användaren. Systemet visar uppgifter om
det apotek som gjort reserveringen
/dosdispenseringen/spärrningen, om
apoteket inte har lagt ut dessa uppgifter
självt. Testfall: uppgifter om ett recept och
en expedition hämtas, där det finns olika
statusuppgifter (makulerat, spärrat,
reserverat osv.) och det kontrolleras att
11
#
Krav/Kontroll
systemet visar användaren dessa uppgifter
tydligt. Testfall: Det hämtas ett recept som
ett annat apotek har registrerat som
upptaget för expedition, reserverat,
registrerat för dosdispensering eller spärrat
och det kontrolleras om systemet visar det
andra apotekets uppgifter
23
AP
Teknisk rättelse av recept
En farmaceut och provisor ska kunna göra tekniska
rättelser i receptet så som att flytta iteringen till rätt
fält.
Tekniska rättelser, så som att iteringen flyttas till rätt
fält, ändrar inte receptets innehåll. Tekniska rättelser
kan göras utan läkarens godkännande. Farmaceuten
och provisorn ska med läkarens samtycke också kunna
göra rättelser som ändrar innehållet. I Receptcentret
ska det sparas en ny version av receptet, där endast de
rättade uppgifterna har ändrats. ”10 § Dessutom får
den provisor och den farmaceut som expedierar
läkemedlet på apoteket föra in behövliga tekniska
rättelser i samband med expedieringen. Om receptets
innehåll är otydligt eller bristfälligt måste
läkemedelsförskrivarens muntliga samtycke till
rättelsen erhållas.”
I Receptcentret ska en ny version av receptet sparas,
där endast de rättade uppgifterna har ändrats.
T: Det ska verifieras att systemet möjliggör
tekniska rättelser.
V/D/I: Det ska kontrolleras att det rättade
receptet har ändrats endast i fråga om de
rättade uppgifter och att en ny version av
det lagras.
Andra obligatoriska
krav
12
#
24
G
Avbrytande av sessionen
Krav/Kontroll
Patientdatasystemet ska möjliggöra spärrning av
journalsystemets användargränssnitt efter den tid som
kundorganisationen fastställt.
T/D/I: Det ska kontrolleras att
journalsystemets användargränssnitt kan
spärras eller att förbindelsen avbryts efter
den tid som kundorganisationen fastställt.
Om alla kunder hos
patientdatasystemet i fråga
ombesörjer spärrning på
användargränssnittsnivå,
behöver
spärrningsmöjligheten inte
genomföras i
patientdatasystemet.
Tidsutlösningen kan vara
olika lång för olika
användargrupper och/eller i
olika användningsmiljöer
(t.ex. operationssal vs
poliklinik).
25
G
Kontroll av inmatningen
Innan uppgifter söks ska systemet kontrollera att de
uppgifter som individualiserar patienten och en
eventuell receptidentifierare har rätt form.
T: Det ska kontrolleras att systemet har
kontroll av inmatningen, som kontrollerar
att t.ex. personbeteckningen har rätt form
samt att receptets streckkod bildas korrekt.
Gränsen för tidsutlösningen
specificeras i planen för
egenkontroll för
tillhandahållaren av tjänsten.
I fortsättningen kan
personbeteckningen vara i
annan form än den finska
(t.ex. i och med epSOS).
Det ska testas att sökning inte kan göras
med felaktig inmatning.
26
G
Uppdatering av uppgifter
från Läkemedelsdatabasen
Systemet ska möjliggöra uppdatering av uppgifter från
Läkemedelsdatabasen med det datainnehåll och den
intervall som krävs.
T/D: Det ska kontrolleras att systemet
möjliggör uppdatering av uppgifter från
Läkemedelsdatabasen och att funktionen
har beskrivits.
13
I Fimeas anvisningar
specificeras det datainnehåll
som ska uppdateras från
läkemedelsdatabasen och
uppdateringsintervallet (t.ex.
#
Krav/Kontroll
2*mån. 2013).
27
G
från THL:s kodtjänst
Basuppgifter och koder som ska upprätthållas
nationellt ska uppdateras från THLs kodtjänst.
28
A
Säkerställande av
vårdrelationen
Patientdatasystemet ska säkerställa användarens
vårdrelation till patienten.
29
R
30
A
Normalt produceras säkerställandet automatiskt utifrån
de uppgifter (t.ex. tidsbokning) som finns i systemet.
Det tekniska säkerställandet förutsätter att minst en
person i serviceenheten eller i en begränsad grupp
enheter har deltagit i registreringen av patientens
uppgifter utöver användaren. Om vårdrelationen inte
kan säkerställas tekniskt, ska en särskild orsak till att
uppgifterna behandlas anges.
Mottagning och lagring av
Ett elektroniskt recepts patientanvisning kan lagras
elektroniska recepts
tillfälligt i patientjournalsystemet (i händelse av att en
patientanvisningar
eventuell utskrift misslyckas), men den ska utplånas
inom 12 timmar efter utskriften, varefter den inte
längre får skrivas ut.
Åtskiljande av registren och I systemet ska man kunna skilja åt register som
förhindrande av att andra
uppkommer inom olika tjänster. Andra
än hälso- och sjukvårdens
patientuppgifter än sådana som uppkommer inom
register arkiveras i Kanta
hälso- och sjukvården, t.ex. inom socialvården och
som hör hemma i socialvårdens register, arkiveras inte
tills vidare i Kanta, så dessa register ska kunna
åtskiljas från hälso- och sjukvårdens register och det
ska förhindras att de lagras i Kanta.
T/D: Det ska kontrolleras att systemet
möjliggör uppdatering av uppgifter från
THL:s kodtjänst och att uppdateringssättet
har beskrivits ur systemets synvinkel.
T+V: Det ska testas att det tekniska
säkerställandet av vårdrelationen realiseras.
Användningsloggen ska kontrolleras.
D/I: Det ska kontrolleras att ett elektroniskt
recepts patientanvisningar inte lagras
permanent och att det finns en funktion som
utplånar patientanvisningen senast 12
timmar efter utskriften.
D/I/V: Det ska kontrolleras hur registren
åtskiljs och det förhindras att de lagras i
Kanta
14
Uppdateringen behöver inte
ske automatiskt.
Kraven på det webbaserade
system som en privat
yrkesutövare använder samt
på socialvården preciseras
senare.
Det förutsätts ingen särskild
databas för att skilja åt
registren.
#
31
G
Beskrivning av
synkroniseringen av
klockor
32
AP
Avbrytande av förbindelse
till receptcentret
33
AP
Kontroll av inmatningen
34
AP
Dokumentation av
patientsamtycken
35
AP
Förfrågan om och
dokumentation av
samtycken
Krav/Kontroll
Det ska beskrivas hur klockorna i
informationssystemtjänster som är kopplade till Kantatjänsterna är synkroniserade med Finlands officiella tid
som levereras av Mätteknikcentralen.
Apotekssystemet ska se till att förbindelsen till
receptcentret avbryts när användaren inte använder
systemets funktioner som hänför sig till receptcentret
aktivt under 30 minuter
(efter detta kan receptcentrets uppgifter inte användas
utan ny identifiering).
Före en sökning i receptcentret ska systemet
kontrollera att de uppgifter för att individualisera
patienten och den receptidentifierare som användaren
(en farmaceut, provisor eller farmacie studerande)
matat in har rätt form.
D: Ska verifieras i dokumentationen från
producenten av informationssystemtjänsten.
Kanta-tjänsterna: kraven på
informationssäkerhet hos
telekommunikationen och
meddelandetrafiken.
Uppgift om en patients eller dennas lagliga
företrädares samtycke (t.ex. sammanställning av
patientens elektroniska recept och icke-expedierade
recept eller patientanvisning) och typen av samtycke
(muntligt eller skriftligt) ska sändas till receptcentret.
Apoteket ska på grund av patientens muntliga
samtycke (på patientens begäran) lämna uppgifter om
patientens recept som finns lagrade i receptcentret och
icke-expedierade recept (t.ex. Sammanställning av
patientens elektroniska recept).
Om sammanställningen hämtas av någon annan än
patienten själv eller dennas lagliga företrädare ska den
som hämtar sammanställningen ha ett av patienten
eller dennas lagliga företrädare undertecknat samtycke.
T/D/I: Det ska kontrolleras att förbindelsen
till receptcentret bryts, om användaren inte
använder systemets funktioner som hänför
sig till receptcentret aktivt under 30 minuter
T/D/I: Det ska kontrolleras att systemet har
kontroll av inmatningen, som kontrollerar
att t.ex. personbeteckningen har rätt form
eller att receptidentifieraren har rätt form.
T: Det ska testas att sökning inte kan göras
med uppgifter som inte har rätt form
T: Det ska kontrolleras att systemet har en
egenskap med vars hjälp det är möjligt att
dokumentera patientsamtycken.
T: Det ska kontrolleras att det är möjligt att
skriva ut en sammanställning av patientens
elektroniska recept från systemet
15
#
Krav/Kontroll
D/T: Det ska kontrolleras att systemet
möjliggör uppdatering av uppgifter enligt
läkemedelsdatabasen. Det ska kontrolleras
att uppgifterna uppdateras med erforderligt
intervall. Det ska kontrolleras om det finns
en automatiserad process för detta eller
något annat formbundet sätt som
säkerställer att uppdateringarna görs i tid
T: Det ska testas att systemet kontrollerar
huruvida det valda receptet är spärrat,
makulerat, helt och hållet expedierat eller
om en godkänd förnyelsebegäran hänför sig
till det. Om så är fallet ska systemet
meddela att receptet inte kan expedieras
och orsaken till detta. Dessutom ska
systemet förhindra att receptet expedieras.
Ett sådant recept beträffande vilket
uppgiften om reserveringsstatus är någon av
dem som beskrivs i kravet ska behandlas.
36
AP
Uppgifter enligt läkemedelsdatabasen om läkemedel,
ersättningsgilla salvbaser, kliniska näringspreparat och
preparat med specialtillstånd för viss tid ska uppdateras
i expeditionsprogramvaran den 1:s och den 15:e varje
månad.
37
AP
Kontroll av statusuppgiften
för valt recept
När det recept som ska expedieras väljs ska
apotekssystemet kontrollera att receptet inte är spärrat,
makulerat, helt och hållet expedierat eller att ingen
förnyelsebegäran hänför sig till det (receptet har inte
förnyats).
Om receptet har någon status som nämns ovan, ska
systemet meddela användaren att receptet inte kan
expedieras och orsaken till detta.
Systemet ska även kontrollera att receptet inte är
reserverat, upptaget för expedition eller registrerat för
dosdispensering i ett annat apotek.
38
AP
Förnyelse av recept
Om receptet har någon reserveringsstatus som nämns
ovan i ett annat apotek, ska apotekssystemet meddela
användaren att receptet i fråga inte kan expedieras,
receptets status och uppgifter om det apotek som gett
statusen.
Systemet ska möjliggöra begäran om förnyelse av ett
elektroniskt recept inom 16 månader från det att det
ursprungliga receptet förskrevs.
Systemet får inte möjliggöra förnyelsebegäran när
tidsfristen på 16 månader har gått ut
T: Det ska kontrolleras att systemet
meddelar användaren att receptet inte kan
expedieras och även orsaken till detta.
Dessutom ska det kontrolleras att systemet
förhindrar att receptet expedieras.
D/I+T: I systemdokumentationen eller på
något annat sätt ska det kontrolleras att
systemet möjliggör förnyelsebegäran inom
16 månader från det att det ursprungliga
receptet förskrevs. Förnyelsebegäran ska
testas.
16
Enligt den nuvarande
tolkningen följer två krav av
lagen: - recept måste kunna
förnyas under 16 månader –
det ska inte gå att förnya
recept som är äldre än 16
mån.
#
39
AP
Kontroll av uppgifter som
hämtats från receptcentret
Krav/Kontroll
När en läkemedelsexpedition görs får apotekssystemet
hämta och visa uppgifter om endast den person som är
föremål för expedieringen åt gången. Apotekssystemet
får hämta och visa de uppgifter om det elektroniska
receptet som behövs vid expedieringen inklusive
uppgifter som påverkar rätten till ersättning från
sjukförsäkringen.
T/I/D: Det ska kontrolleras att systemet inte
kan söka uppgifter om andra personer än
den person som är föremål för
expedieringen i receptcentret.
Det ska kunna beskrivas:
1. hur informationssäkerhetsmedvetenheten har
beaktats under systemets utvecklingsprocess
2. hur informationssäkerhetshoten och riskerna har
identifierats och fåtts under kontroll
3. hur gränssnitten har testats med felaktig indata
samt stora indatamängder
4. hur användningen av funktioner och gränssnitt som
lätt orsakar problem övervakas
5. hur arkitekturen och källprogrammet genomgås
6. hur programkoden kontrolleras genom t.ex.
automatisk statisk analys
7. hur versionshanteringen av programkoderna har
genomförts, hur man vid behov kommer åt äldre
programversioner och hur dokumentationen av
ändringar i programkoden har genomförts
D: Punkterna 1-2, 4-7 ska verifieras med
hjälp av dokumentation från producenten av
informationssystemtjänsten.
Dokumentationen behöver inte vara
systemspecifik.
T/D/I: Det ska kontrolleras vilka uppgifter
systemet hämtar för
läkemedelsexpeditioner.
Tillämpningssäkerhet
40
G
Principer för säker
programmering när
systemet implementeras
T: Punkt 3 verifieras i testrapporten.
Testrapporten kan ha levererats av
producenten av informationssystemtjänsten
eller så kan den produceras som ett led i
auditeringen.
17
Kriterier enligt
rekommendationerna i de
nationella
säkerhetsauditeringskriteriern
a är bl.a.:
1) Det har säkerställts att
programutvecklarna är
tillräckligt
informationssäkerhetsmedvet
na.
2) En analys av
informationssäkerhetshoten
har genomförts under
programutvecklingen och de
uppdagade riskerna har
antingen fåtts under kontroll
eller uttryckligen godkänts.
3) Gränssnitten (åtminstone
de externa) har testats med
felaktig indata samt stora
indatamängder.
4) Beroende på
programmeringsmiljön har
#
Krav/Kontroll
41
G
Beredskap för allmänna
attackmetoder
Det ska ha beskrivits i systemet hur man förbereder sig
på allmänna attackmetoder så att det konfidentiella
läget eller integriteten för de skyddade uppgifter som
ska behandlas i tjänsten/tillämpningen inte äventyras.
42
G
Nätportar som
tillämpningen använder
I systemet finns inga onödiga portar öppna och inga
icke-säkrade, icke-krypterade protokoll. Endast trafik i
nödvändig riktning är tillåten.
D/I: Genom intervjuer och utifrån
dokumentationen ska det gås igenom vilka
av de allmänna attackmetoderna som är
relevanta för informationssystemet /
informationssystemtjänsten och hur man
har förberett sig på dem. Förberedelsesättet
måste kunna beskrivas i fråga om relevanta
attackmetoder.
D/I: Genom intervjuer samt dokumentation
ska det verifieras hur de nätportar som
tillämpningen använder är specificerade
och skyddade och hur man försäkrar sig om
att inga onödiga portar och icke-säkrade
protokoll används.
18
det fastställts en policy för
användningen av funktioner
och gränssnitt som lätt
orsakar problem och den
övervakas (t.ex. förteckningar
över förbjudna funktioner).
5) Arkitekturen och
källprogrammet har
genomgåtts.
6) Programkoden har
kontrollerats genom
automatiserad statisk analys.
7) Integriteten hos
versionshanteringen av
programkoden och
utvecklingsverktygen har
säkerställts.
T.ex. OWASP Top10 2013
I den inledande fasen
förutsätts inte heltäckande
extern testning.
I den inledande fasen
förutsätts inte heltäckande
extern testning.
#
43
G
Iakttagande av avvikande
verksamhet
Krav/Kontroll
Systemet ska ha ett förfarande som gör det möjligt att
upptäcka olovlig användning och olovliga
användningsförsök.
D/I/T: Det ska kontrolleras hur olovlig
användning eller olovliga
användningsförsök kan upptäckas och
rapporteras i systemet.
Krav som hänför sig till systemets användningsmiljö, när en producent av en informationssystemtjänst eller Kanta-förmedlingsservice ansvarar för
användningsmiljön
44
G
Konfidentiellt läge och
integritet
Krypteringen av
dataöverföring och
telekommunikationens
konfidentiella läge samt
integritet i Kanta-tjänsterna
är säkrad
Obehöriga får inte fram skyddade uppgifter (även
anlitande av hälso- och sjukvårdstjänster är en uppgift
som ska hemlighållas).
Uppgifterna får inte ändras under dataöverföringen.
D/T: Beskrivningar, inställningar och/eller
systemets anvisningar om kryptering,
signering och behandling av
nycklar/certifikat i systemet och om
behandlingen av eventuella VPNförbindelser ska kontrolleras.
Överföringen av elektroniska recept, journalhandlingar
och konfidentiella uppgifter i anslutning till dem till
nationella tjänster eller från dem till andra ställen är
krypterad (t.ex. SSL/TLS) och elektroniskt signerad.
Journaler och uppgifter kan förmedlas i icke-krypterad
form när man använder point-to-point VPNförbindelser.
45
G
Båda parterna i elektronisk
kommunikation ska
identifieras
Identifiering av förbindelse,
parter och enheter
Apotek, tjänsteproducenter och användarorganisationer
samt deras servrar för tjänsten i fråga ska identifieras
på ett tillförlitligt sätt när förbindelse upprättas till
Kanta-tjänsten innan den elektroniska förbindelsen
inleds.
Identiteten hos parterna i förbindelsen certifieras innan
den egentliga förbindelsen upprättas.
D/T/I: Det ska kontrolleras hur
identifieringen och certifieringen av den
andra partens identitet har genomförts.
Certifikatnycklarnas bitantal och
krypteringsalgoritmens implementering ska
kontrolleras.
19
Folkpensionsanstalten
meddelar tekniska
anvisningar om godtagbar
SSL/TSL-krypteringsnivå.
Systemen och
användarorganisationerna ska
förbinda sig att iaktta
anvisningarna och företa
nödvändiga ändringar.
Krypteringsnivån ska
tillämpas med tillräckligt
stark algoritm och nyckel.
Saken testas närmare senast i
samband med införandet.
Folkpensionsanstalten
meddelar tekniska
anvisningar om godtagbar
krypteringsnivå
(certifikatnycklarnas bitantal
och krypteringsalgoritm)
Kanta-tjänsterna:
Krav på
#
Krav/Kontroll
informationssäkerheten hos
telekommunikationen och
meddelandetrafiken.
Saken testas närmare senast i
samband med införandet.
46
G
Iakttagande av avvikelser
Tillhandahållare av tjänster ska ha en skriftlig
samlings-, utlämnings-, larm- och uppföljningspolicy/anvisning för loggar, vilken har utformats med
beaktande av kraven på verksamheten. Systemet ska
göra det möjligt att samla loggar och det kan stöda
även utlämnings-, larm- och uppföljningsfunktioner.
D: Det ska kontrolleras hur samlingen och
hanteringen av systemets loggar har
genomförts och är tillgänglig och huruvida
andra loggövervakningsfunktioner stöds.
47
G
Skydd av nätförbindelsen
D: Det ska kontrolleras hur systemet stöder
skyddande av nätförbindelsen med
brandvägg, innehåller det särskilda
brandväggsegenskaper och hur har
eventuella brandväggsinställningar som
krävs beskrivits.
48
G
Hanteringsförbindelser till
systemet
Den anslutande organisationens system ska vara
skyddade med en brandvägg. Det kan vara fråga om
antingen en hårdvarubrandvägg eller separata
mjukvarubrandväggar.
VAHTI 2/2010, bilaga 5, krav 2.5. Åtminstone krav på
grundläggande nivå.
Om det finns flera förbindelser från organisationen till
receptcentret / arkivet, räcker det om de finns bakom
samma brandvägg. Systemet ska stöda skyddande av
nätförbindelsen med brandvägg och om det kräver
särskilda brandväggsinställningar ska de beskrivas.
Om det av underhålls- eller andra skäl tillåts
fjärranslutningar till systemet, ska förbindelserna till
systemet vara krypterade från den ena ändan till den
andra (från upprätthållarens maskin till det system som
ska upprätthållas) med t.ex. VPN-tunnel. Dessutom ska
de som använder fjärranslutningarna identifieras med
en tillförlitlig stark identifieringsmetod (inte enbart
lösenord och användaridentifikation)
D/I: Det ska klarläggas och beskrivas
huruvida det finns fjärranslutningar för
underhåll till systemet och hur eventuella
fjärranslutningar till systemet har
realiserats.
D/I: Det ska kontrolleras att eventuella
fjärranslutningar har realiserats med
20
VAHTI 2/2010, bilaga 5, krav
2.5
#
49
G
Nycklar som används för
kryptering stannar endast
hos önskade aktörer
Till användningsmiljöns
sida
50
G
Härdning av systemet
Krav/Kontroll
Hanteringsförbindelserna till systemet ska antingen
krypteras starkt eller byggas upp så att man använder
ett eget skyddat nät för hanteringsförbindelserna.
Kravet gäller även förbindelser i det interna nätet.
Organisationens system ska stöda hantering av
krypteringsnycklar och certifikat enligt god praxis,
vilken ska omfatta
a) Skapande (eller överföring till systemet) av
nycklar/certifikat
b) Förvaring av nycklar/certifikat
c) Användning av nycklar/certifikat
d) Utplåning/arkivering/makulering av
nycklar/certifikat
I systemen får inte finnas extra tjänster påkopplade
eller onödiga öppna portar.
Organisationen ska ha en specificerad
enhetssammansättning och systemplattform (t.ex.
operativsystem och databaser), enligt vilka systemets
informationssäkerhetsinställningar görs.
51
G
Skydd mot skadegörande
program på servrar
De servrar och arbetsstationer på vilka systemen
fungerar ska vara skyddade mot skadegörande
program. De rekommenderas att program för att
bekämpa skadegörande program uppdateras
automatiskt.
krypterad förbindelse, t.ex. VPN, SSH,
SSL/TLS eller att det finns ett eget skyddat
nät för hanteringsförbindelser.
D: Dokumentation i anslutning till
hanteringen av krypteringsnycklar, det ska
kontrolleras att god praxis enligt a-d iakttas.
Kravet gäller åtminstone
nycklar och certifikat som
används vid anslutning till
Kanta-tjänsterna.
D/I: Det ska kontrolleras hur systemen
härdas och testas innan de tas i bruk och att
det inte finns några extra tjänster eller
onödiga öppna portar, eller vilka
anvisningar det finns om detta.
Ett noggrannare
verifieringssätt än det angivna
kravet är att skanna tjänsterna
och kontrollera plattformens
konfigureringsinställningar,
vilket tills vidare inte krävs på
ett heltäckande sätt.
D: Det ska kontrolleras hur
enhetssammansättningen och
systemplattformen samt deras
informationssäkerhetsinställningar har
beskrivits.
D/I: Det ska kontrolleras att sådant skydd
mot skadegörande program är i gång på
servrarna som kan identifiera virus,
spionprogram och andra skadegörande
program och att skyddet uppdateras
regelbundet och i mån av möjlighet
automatiskt.
21
Kravet gäller sådana system
som vanligtvis är känsliga för
virus och för vilka det finns
viruskontrollprogram
tillgängliga.
22

Krav på informationssäkerhet hos system av klass A och på

Transcription

Similar documents

Samordningsgruppen för det statliga nätverket träffas i Uppsala

Imentums Nyhetsbrev Nr 2 Årgång 2011

Se programmet för Informationssäkerhet för offentlig sektor

Validering och Verifiering av HACCP

Informationssäkerhet : trender 2015

tenta

Projekteringsprocessen 0.1 1 Bilaga I Granskning och