Krav til kommunikasjonssikkerhet
|
|
- Christoffer Håkonsen
- 8 år siden
- Visninger:
Transkript
1 Krav til kommunikasjonssikkerhet for EDI-løsninger Versjon januar 2002 KITH Rapport 04/02 ISBN
2 KITH-rapport Tittel Krav til kommunikasjonssikkerhet for EDI-løsninger Forfatter(e) Arnstein Vestad Oppdragsgiver(e) SHD Rapportnummer R 04/02 ISBN Godkjent av URL Dato Antall sider Kvalitetssikret av 30. januar Tor Olav Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7489 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post firmapost@kith.no Foretaksnummer Prosjektkode S-SV-SDO Gradering Jacob Hygen Adm. direktør Sammendrag Rapporten beskriver krav til kommunikasjonssikkerhet for EDI-løsninger i helsevesenet. Det stilles krav til valg av krypteringsløsninger, digitale signaturer og algoritmevalg for disse. Videre gis det anbefalinger knyttet til bl.a. kvitteringer, loggføring og nøkkelhåndtering.
3 Innhold INNLEDNING... 1 KRAV TIL KOMMUNIKASJONSSIKKERHET... 3 Konfidensialitet 3 Opphavsautentisering 3 Ikke benekting av opphav og mottak 3 Kvitteringer 3 Kvitteringer for X Kvitteringer for SMTP...4 Nøkkeladministrasjon 4 Meldingsoverføring 5 Utvekslings- og overføringslogg 5 Utvekslingslogg (Juridisk logg)...5 Overføringslogg...6 Bruk av logg i tvister...6 Forholdet til avtaler...6 Adgangskontroll 7 Programpakker 7
4 KRAV TIL KOMMUNIKASJONSSIKKERHET FOR EDI- LØSNINGER Kapittel Innledning Retningslinjene som er definert i dette dokumentet er et minimum av mekanismer for kommunikasjonssikkerhet. Retningslinjene er fremkommet som et resultat av Sosial - og helsedepartementets Standardiseringsprogram for elektronisk informasjonsutveksling i helsevesenet, og er ment å erstatte retningslinjene gitt i Meldingshåndboken for elektronisk informasjonsutveksling i helse og trygdesektoren, KITH R4-94, versjon 2.1 fra mars Retningslinjene tilfredsstiller: a) Den europeiske standarden ENV : Secure Data Object b) De krav som er framkommet gjennom Standardiseringsprogrammet og konsensus i arbeidsgruppe 3. Retningslinjene som beskrives i det følgende bør benyttes som krav for hvilke sikkerhetsfunksjoner som en leverandør av kommunikasjonsløsninger for helsevesenet må kunne levere. Ved definering av disse retningslinjene er det ikke gjort forutsetninger om meldingsformat eller overføringsprotokoll. Standarden som refereres er ment å være format- og protokolluavhengig, og skal kunne sikre alle typer binære data. Sikringsmekanismene som skal benyttes er beskrevet i ENV Dette innebærer at meldingen skal pakkes inn vha. S/MIME versjon 3 CMS (Cryptographic Message Service). Algoritmene som skal benyttes er RSA signaturer og RSA nøkkelutveksling, SHA-1 for meldings-hash og 3DES for kryptering av meldingsinnholdet. Figuren på neste side viser hvordan standarden er tenkt benyttet for å sikre et objekt. En applikasjon genererer data som skal sikres samt eventuell headerinformasjon som kan benyttes av mottaker for å tolke dataene, f.eks. for å indikere hvilken applikasjon som har generert dataene. Sikkerhetstjenestene kalles så for å sikre dataene og headerinformasjonen. Sikkerhetstjenestene behandler dataene som skal krypteres (evt. signeres), og generer en chiffertekst. Eventuelle data for valg av applikasjon som skal behandle de krypterte dataene legges så til det sikrede objektet. De to informasjonselementene (data for valg av applikasjon og 1
5 INNLEDNING Helseapplikasjon sikkerhetstjenester 1: generer applikasjonsdata 2: evt. legge til applikasjonsheader 3: usikret data 4:sikre data 5: sikret data 6: evt. legge til data for applikasjonsvalg Figur 1 - Prosessen for å sikre applikasjonsdata chifferteksten) regnes sammen som objektet klargjort for overføring, og kan overføres på valgfri måte til mottakeren. 2
6 KRAV TIL KOMMUNIKASJONSSIKKERHET FOR EDI- LØSNINGER Krav til kommunikasjonssikkerhet Kapittel Dette kapittelet beskriver de konkrete krav og anbefalinger som gis for meldingssikkerhet for EDI-kommunikasjon i helsevesenet. Kravene er rettet mot konfidensialitet, autentisering og meldingsintegritet. I tillegg gis bl.a. anbefalinger om kvitteringer, loggføring og nøkkelhåndtering. Konfidensialitet Metoder for konfidensialitet gir mottakeren av en melding mulighet til å være sikker på at meldingen kom frem fra avsender uten at noen hadde mulighet til å lese og forstå den. For å oppnå konfidensialitet krypteres dataene for å gjøre det umulig å tolke dem. For kryptering av meldingsinnholdet skal krypteringsalgoritmen 3DES benyttes sammen med RSA for nøkkelutveksling. Opphavsautentisering Autentisering er en metode som gir mottakeren av en melding mulighet til å sjekke at meldingen virkelig kom fra den oppgitte avsender. Som for integritet sikres opphavsautentisering vha. digital signatur. Ikke benekting av opphav og mottak Benekting betyr at en part som har deltatt i en kommunikasjon med en annen part på et senere tidspunkt nekter for å ha deltatt i kommunikasjonen eller å ha sendt en påstått utveksling, evt. påstår at den er endret av mottaker. Ikke-benekting av opphav sikres vha. digitale signaturer. I tillegg vil logging av utvekslinger hos avsender og mottaker bidra til å skape sporbarhet i meldingsutvekslingen. Mekanismer for ikke-benekting av mottak spesifiseres ikke i denne omgang. Kvitteringer Kvitteringer kan bidra til å lette feilsøking og til å avdekke problemer med meldingsoverføringen. Mekanismene for kvitteringer på overføringsnivå (f.eks. X.400, SMTP, HTTP) varierer med protokoll, og det 3
7 KRAV TIL KOMMUNIKASJONSSIKKERHET stilles derfor ikke absolutte krav til kvitteringsløsninger. Det følgende kan derfor anses som anbefalinger for henholdsvis X.400 og SMTP. I tillegg kan kvitteringsmekanismer på applikasjonsnivå benyttes. Kvitteringer for X.400 For X.400 bør følgende X.400-tjenester tas i bruk og håndteres av applikasjonene: Avleveringskvittering ("delivery report/notification"). Ikke-avleveringskvittering ("non-delivery report/notification"). Kvitteringer for SMTP SMTP opererer i større grad enn X.400 med direkte kommunikasjon mellom avsender og mottakers e-postserver, og behovet for kvitteringer blir derfor mindre. Det er likevel definert to kvitteringstyper som bør vurderes brukt: Delivery Status Notification som definert i RFC 1894 (kvittering gis av MTA) Message Disposition Notification som definert i RFC 2298 (kvittering gis av UA) Nøkkeladministrasjon For offentlig nøkkel kryptering må alle kommunikasjonspartene kjenne hverandres offentlige nøkler. Siden de offentlige nøklene ikke skal være hemmelige kan de overføres i klartekst sammen med annen kommunikasjon eller kommuniseres via andre mekanismer. Dette forutsetter at nøklenes integritet beskyttes, noe som normalt sikres ved at nøklene signeres av en tiltrodd tredjepart (TTP), som dermed genererer et digitalt sertifikat. Partene må derfor være enige om en eller flere TTP er som de velger å ha tillit til, og rotsertifikatene fra disse TTP ene må installeres hos alle parter. En mulighet er også at en virksomhet selv velger å opptre som TTP og utstede sertifikater til eget bruk. Alle aktuelle samarbeidspartnere må da ha dette rotsertifikatet installert. For å erstatte eksisterende bilaterale utvekslinger hvor DES-nøkler har vært avtalt mellom to kommunikasjonsparter kan overnevnte løsning hvor en av partene påtar seg TTPfunksjonen benyttes, evt. kan selvsignerte sertifikater utveksles. Hver part må beskytte sin private nøkkel på en måte som både avsender, mottaker (og eventuelt TTP) finner tilfredsstillende, og kravene bør inkluderes i utvekslingsavtalen. For mer automatiserte løsninger kan nøkler lagres på harddisk mens for løsninger som krever en mer direkte knytting mellom konkrete individer og meldinger (f.eks. for å fylle lovbestemte krav om signaturer), bør den private nøkkelen lagres på et smartkort. 4
8 KRAV TIL KOMMUNIKASJONSSIKKERHET Det bør benyttes separate nøkkelpar for kryptering og for digital signatur. Videre bør revokeringslister eller online-protokoller for kontroll av sertifikatstatus som OCSP benyttes. Meldingsoverføring Sikkerhetskravene som defineres her legger ingen føringer for valg av overføringsprotokoll o.l. Hvis SMTP benyttes skal S/MIME versjon 3 benyttes for å kode det beskyttede objektet. Hvis X.400 benyttes skal de følgende regler følges, som definert i RFC 2157 Mapping between X.400 and RFC-822/MIME Message Bodies : 1. Hele CMS meldingen skal sendes som en IA5 body part. 2. De første bytes av innholdet skal være MIME-version: 1.0 Content-type: application/pkcs7-mime Content-transfer-encoding: <7bit, quoted-printable or base 64> <Possibly other Content headings here, terminated by \r\n> \r\n <Here follows the bytes of the content, encoded in the proper encoding> 3. Hele innholdet følger og skal kodes i henhold til CMS. Hvis dataene kun er signert skal innholdet settes til application/pkcs7- signature Dette gjør det mulig for en mixer-gateway mellom X.400 og SMTPsystemer å konvertere til en S/MIME-melding og omvendt. Andre e-postsystemer skal benytte samme tilnærming som X.400. Utvekslings- og overføringslogg Avsender og mottaker må bli enig om nødvendig loggføring. Som minstekrav bør det genereres en juridisk logg, i tillegg kan det genereres en overføringslogg, f.eks X.400-logg eller logg av SMTPoverføringer. Utvekslingslogg (Juridisk logg) Denne inneholder en fullstendig og kronologisk journal (juridisk logg) for lagring av alle meldinger og evt. kvitteringsmeldinger (f.eks. CONTRL-meldinger). For hver utveksling skal loggen minimum inneholde følgende dataelementer: Avsender Mottaker Komplett melding. Unik meldingsidentifikator. Tid for sending/mottak (dato og tid). 5
9 KRAV TIL KOMMUNIKASJONSSIKKERHET Utvekslingene forutsettes lagret dekryptert. Overføringslogg Overføringsloggen inneholder data om hendelser i forbindelse med overføring av utvekslingen. For hver hendelse kan loggen inneholde: Avsender Mottaker Unik meldingsidentifikator Tidspunkt meldingen ble sendt Tidspunkt hendelsen ble ført på loggen Status, f.eks: Innkommende melding (mottak). Utgående avleveringskvittering ("delivery report/notification"). Utgående ikke-avleveringskvittering ("non-delivery report/notification"). Innkommende avleveringskvittering ("delivery report/notification"). Innkommende ikke-avleveringskvittering ("non-delivery report/notification"). Bruk av logg i tvister Loggenes beviskraft vil avhenge av muligheten til i ettertid å endre de lagrede data og dermed vil sikkerheten rundt loggene ha juridisk betydning ved eventuelle tvister. Avsender og mottaker skal sikre seg at utvekslingene lagres på en slik måte at lagrede data sikres mot bevisst eller ubevisst sletting eller endring. Endringer bør derfor kun skje gjennom spesielt sikrede transaksjoner og funksjoner som logges av operativsystemet. For meldinger som er sikret med personidentifiserende, kvalifiserte sertifikater vil lov om elektronisk signatur m.v., gjeldende fra 1. juli 2001, være av betydning. Forholdet til avtaler Det forutsettes at kommunikasjonspartene har inngått en utvekslingsavtale som sier om det er avsenders eller mottakers logg som gjelder i hvilke tilfeller osv. I utvekslingsavtalen vil det også være mulig å fravike kravet om at begge parter skal føre logg. I så fall vil begge parter måtte stole på den part som fører logg. Det forutsettes også inngått en dokumentavtale for hver type elektronisk melding der lagringstid for juridisk logg og for evt. overføringslogg avtales. 6
10 KRAV TIL KOMMUNIKASJONSSIKKERHET Adgangskontroll EDI-systemet må ha rutiner for adgangskontroll som forhindrer at uautorisert brukere får tilgang til systemet eller lagrede data. Programpakker Sikkerhetsfunksjonene som er beskrevet i standarden er tilgjengelig i en rekke programmeringsbiblioteker, både fritt tilgjengelige og kommersielle. Noen utgaver er: S/MIME Freeware Library (SFL) et fritt tilgjengelig programvarebibliotek som implementerer IETF S/MIME v3 RFC 2630 Cryptographic Message Syntax (CMS) and RFC 2634 Enhanced Security Services (ESS) spesifikasjonene. Det implementerer også deler av RFC 2633 Message Specification and RFC 2632 Certificate Handling dokumentet. Tilgjengelig fra: OpenSSL-biblioteket Tilgjengelig fra: RSA B-SAFE programvarebibliotek tilgjengelig i C og Java. Tilgjengelig fra: Cryptlib c-bibliotek også tilgjengelig som ActiveX komponent. Tilgjengelig fra: Mozilla S/MIME toolkit c-bibliotek som skal inngå i nettleseren Mozilla open source versjonen av Netscape Communicator. Noe uferdig ennå, men tilgjengelig fra: Dette er et lite utvalg av mulige programbibliotek, og er ikke ment å signalisere preferanse for et spesielt bibliotek eller type bibliotek. Bibliotekenes egnethet og kvalitet garanteres heller ikke. For å sikre at de ulike løsningene fungerer sammen bør det utføres interoperabilitetstesting. Mer informasjon om dette finnes på web-siden til RSA s S/MIME Interoperability Center som finnes på url: 7
PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet. Del 2 : Sikre dataobjekter. Oversatt ved Kompetansesenter for IT i Helsevesenet
PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet Del 2 : Sikre dataobjekter Oversatt ved Kompetansesenter for IT i Helsevesenet Forord Denne Europeiske Prestandard ble forberedt av CEN/TC251 Helseinformatikk
DetaljerForelesning 2: Kryptografi
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 2: Kryptografi Spørsmål 1 a. For hvilke informasjonstilstander (lagring, overføring, behandling)
DetaljerBEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS)
BEDRE KRYPTERING AV WEB-TRAFIKK OG E-POST (TLS) Olav Ligaarden Nasjonal sikkerhetsmyndighet Sikkerhetskonferansen 2015 Oslo Kongressenter 17 18.03.2015 SLIDE 1 INNHOLD Kryptering av web-trafikk Kryptering
Detaljerblir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett
" %$ # " >9 : B D 1. Åpne og lukkede nettverk - Internett og sikkerhet 2. Krav til sikre tjenester på Internett 3. Kryptografi 4. Kommunikasjonssikkerhet og meldingssikkerhet 5. Elektronisk legitimasjon
DetaljerNORSK EDIEL BRUKERVEILEDNING. bruk av SMTP. for. Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008
NORSK EDIEL BRUKERVEILEDNING for bruk av SMTP Versjon: 1.0 Revisjon: E Dato: 3. Mars 2008 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 Bakgrunn... 3 2 Referanser...
DetaljerBasis interoperabilitetstest - ebxml
Basis interoperabilitetstest - ebxml Testversjon: 1.0 2 Basis interoperabilitetstest - ebxml Innholdsfortegnelse 1. Revisjonshistorikk... 3 2. Basis interoperabilitetstest - ebxml... 4 Hvordan gjennomføre
DetaljerGrunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder
HØRINGSNOTAT Høring av forslag til nye eller reviderte forvaltningsstandarder Dato for utsendelse 23.01.17 Behandles i Standardiseringsrådet 22.03.17 Frist for høringssvar 27.02.17 Implementeres i referansekatalogen
DetaljerStandardiseringsrådsmøte
Standardiseringsrådsmøte Standardiseringsrådsmøte #3 2015 16.09.2015 Transportsikring av e-post 16.09.2015 Forslag Foreslått første gang av Gjøran Breivik, Bergen kommune i arbeidsgruppen for sikkerhet
DetaljerVEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN
VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN 1.1 Sikkerhetskravene bygger på at det til enhver tid skal være et 1 til 1-forhold mellom det som er registrert i Virksomhetens
DetaljerMedisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise"
Medisinsk-faglig innhold i epikriser fra poliklinikker og legespesialister - "Den gode spesialistepikrise" Versjon 1.0 31. desember 2002 KITH Rapport R31/02 ISBN 82-7846-158-9 KITH-rapport Medisinsk-faglig
DetaljerK I T H. Ebrev. Elektronisk utsending av brev FOR HELSE OG VELFERD.. INFORMASJONSTEKNOLOGI
K I T H INFORMASJONSTEKNOLOGI FOR HELSE OG VELFERD.. Ebrev Elektronisk utsending av brev VERSJON 1.0 Status: Til utprøving 1.2.2010 KITH-rapport 1020:2010 KITH-rapport TITTEL Ebrev Elektronisk utsending
DetaljerVeiledning i kryptering med Open PGP
Veiledning i kryptering med Open PGP GNU Privacy Guard for Windows (Gpg4win) er en gratis programvare for kryptering av tekst, filer og eposter ved hjelp av standarden OpenPGP for Windows-operativsystem.
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom
DetaljerTransportsikring av e-post rfc 3207 - STARTTLS
Transportsikring av e-post rfc 3207 - STARTTLS Innhold 1 Innledning... 1 1.1 Formål... 1 1.2 Bakgrunn... 1 1.3 Avgrensninger... 2 2 Behov... 2 3 Mål... 2 4 Om rfc 3207 - STARTTLS... 3 4.1 Bruksområder...
DetaljerVeiledning for innføring av ebxml og PKI i helseforetak
Side 1 Veiledning for innføring av ebxml og PKI i helseforetak Versjon 1.0 Dato: 06.01.2005 KITH Rapport 12/05 ISBN 82-7846-256-9 Side 2 KITH-rapport TITTEL Veiledning for innføring av ebxml og PKI i helseforetak
DetaljerInnholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)
NOTAT Fra KITH v/bjarte Aksnes m.fl. Dato 29.03.06 Samhandlingsarkitektur for helsesektoren En viktig forutsetning for at aktører i helsesektoren skal kunne samhandle elektronisk på en god måte er at alle
DetaljerNasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 14 (U-14) Oppdatert: 2016-09-30 Transport Layer Security (TLS) Sikring av kommunikasjon med TLS Beskrivelse av grunnleggende tiltak for sikring
DetaljerNORSK BRUKERVEILEDNING
NORSK BRUKERVEILEDNING for implementering av SMTP Versjon: 1.0 Revisjon: C Dato: 20. februar 2006 Systemstøtte for Ediel / Norsk Ediel Ekspertgruppe Side: 1 INNHOLDSFORTEGNELSE 1 BAKGRUNN... 3 2 REFERANSER...
DetaljerForelesning 4: Kommunikasjonssikkerhet
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 4: Kommunikasjonssikkerhet Spørsmål 1: Sikkerhetsprotokoller a) Hva er en sikkerhetsprotokoll,
DetaljerAnbefalinger og standarder for PKI i helsesektoren
Anbefalinger og standarder for PKI i helsesektoren Versjon 1.1 Dato: 14.10.2004 KITH Rapport 13/04 ISBN 82-7846-230-5 KITH-rapport TITTEL Anbefalinger og standarder for PKI i helsesektoren Forfatter(e):
Detaljer1. Krypteringsteknikker
Krypteringsteknikker Olav Skundberg Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget 1. Krypteringsteknikker 1.1. Fire formål med sikker kommunikasjon Aller først, pålitelig
DetaljerUtveksling av elektroniske meldinger (EDI-utvekslingsavtale)
Utveksling av elektroniske meldinger (EDI-utvekslingsavtale) AS Vinmonopolet Oppdatert 29.11.2013 Side 1 av 6 Innhold 1. Formål... 3 2. Definisjoner... 3 3. Produksjonssetting av nye meldingstyper... 3
DetaljerVedlegg til meldinger
Elektronisk samhandling Vedlegg til meldinger TEKNISK SPESIFIKASJON VERSJON 2.0 13.5.2011 KITH-rapport 1036 : 2011 KITH-rapport TITTEL Elektronisk samhandling Vedlegg til meldinger Forfatter Espen Stranger
DetaljerPrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet. Del 3 : Sikre datakanaler. Oversatt ved Kompetansesenter for IT i Helsevesenet
PrENV 13608 : Sikkerhet for kommunikasjon i helsevesenet Del 3 : Sikre datakanaler Oversatt ved Kompetansesenter for IT i Helsevesenet Forord Denne Europeiske Prestandard ble forberedt av CEN/TC251 Helseinformatikk
DetaljerGjengangere fra kundesenteret. Grunnkurs Høsten 2006 Unni Solås & Trond Haugen
Gjengangere fra kundesenteret Grunnkurs Høsten 2006 Unni Solås & Trond Haugen Papirmølleproblemer Når legal-c ikke kan signere for overføring eller sletting Når et domenenavn egentlig befinner seg hos
DetaljerForelesning 2: Kryptografi
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 2: Kryptografi Oppgave 1 a. For hvilke informasjonstilstander (lagring, overføring, behandling)
DetaljerTEKNISKE PROBLEMSTILLINGER. Grunnkurs Våren 2007 Trond Haugen
TEKNISKE PROBLEMSTILLINGER Grunnkurs Våren 2007 Trond Haugen Tekniske problemer Feil ifm. signering med PGP Feilformatterte e-poster Får ikke svar på innsendt søknad Får avvisning av innsendt søknad Ikke
DetaljerAkseptansetest av sending og mottak Applikasjonskvittering
Akseptansetest av sending og mottak Applikasjonskvittering Meldingsversjon: 1.0 Akseptansetest av sending og mottak Applikasjonskvittering 2 Innholdsfortegnelse 1. Revisjonshistorikk 3 2. Akseptansetest
DetaljerOppgaver til kapittel 19 - Kryptering og steganografi
Oppgaver til kapittel 19 - Kryptering og steganografi Oppgave 1 - Cæsars kode (plenum) I symmetrisk kryptering brukes samme nøkkel både for å kryptere og dekryptere. Avhengig av hvordan nøkkelen utformes
DetaljerHvordan få tilgang til journalopplysning fra andre virksomheter
Hvordan få tilgang til journalopplysning fra andre virksomheter Avdelingssjef, KITH Tema Løsninger for utlevering og tilgang til helseopplysninger Utlevering ved hjelp av web-publisering Samhandlingsarkitektur
DetaljerForelesning 3: Nøkkelhåndtering og PKI
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 3: Nøkkelhåndtering og PKI Spørsmål 1 a. Hvorfor er god håndtering av kryptografiske nøkler essensiell
DetaljerTeknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur
Teknologien: Fra digitale signaturer til offentlig-nøkkel infrastruktur Jon Ølnes (NR) Jon.Olnes@nr.no Seminar om elektronisk kommunikasjon med digitale signaturer Statskonsult, 4/4 2000 Innhold Hva kan
DetaljerVedlegg A: Behandling i Standardiseringsrådet, HTTPS
Vedlegg A: Behandling i Standardiseringsrådet, HTTPS Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-A Oppsummering av høringssvar - HTTPS Oppdatert forslag til anbefaling - HTTPS Side 1
DetaljerVeiledning i informasjonssikkerhet
Veiledning i informasjonssikkerhet ved bruk av e-post Versjon 0.4 19. oktober 1999 KITH Rapport X/99 ISBN 000-00-000-00 KITH-rapport Tittel Veiledning i informasjonssikkerhet ved bruk av e-post Forfatter(e)
DetaljerEN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI
EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI Asylavdelingen (ASA) i UDI forbereder seg til høsten 2010 der avdelingen skal begynne med fullelektronisk saksbehandling (esak). UDI har innført en løsning
DetaljerVeileder for innsendingssystemet IPIS. Versjon 1.9/07.12.2010/TJ. Helsedirektoratet
Veileder for innsendingssystemet IPIS Versjon 1.9/07.12.2010/TJ Helsedirektoratet 2 Endringshistorikk Versjonsnr Dato Beskrivelse av endringer 1.1 27.04.2006 Nedlasting av.net Framework er fjernet i kap
DetaljerBrukerdokumentasjon. Adresseregisteret Om Adresseregisteret
Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk
DetaljerSymmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.
1 Hva? Hva er informasjonssikkerhet? Information security encompasses the study of the concepts, techniques, technical measures, and administrative measures used to protect information assets from deliberate
DetaljerAkseptansetest av mottak Elektronisk epikrise - Den gode epikrise
Akseptansetest av mottak Elektronisk epikrise - Den gode epikrise Meldingsversjon: 1.1 datert 23.09.2006 Akseptansetest av mottak Epikrise 2 Innholdsfortegnelse 1. REVISJONSHISTORIKK... 3 2. AKSEPTANSETEST
DetaljerECC i akademia vs. industrien
Conax AS 2007 RSA ECC Utbredelse Kampen mellom ECC og RSA har pågått lenge. I akademia går ECC av som vinner, mens i industrien er det fortsatt RSA som gjelder. RSA RSA ECC Utbredelse I 1977 publiserte
DetaljerAnvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt
Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene
DetaljerPersoninformasjon i norsk offentlig sektor et område i endring Jon Ølnes, UniBridge AS
Personinformasjon i norsk offentlig sektor et område i endring Jon Ølnes, UniBridge AS DIGIT-seminar, SINTEF, Oslo, 19/4 2012 Terminologi (ikke helt omforent) e-id: Elektronisk legitimasjon for pålogging
DetaljerSmartkort og Windows 2000
Smartkort og Windows 2000 Hovedoppgave ved sivilingeniørutdanningen i informasjons- og kommunikasjonsteknologi, Høgskolen i Agder Terje Landa Våren 2000 Sammendrag Sikkerhet er et viktig tema innenfor
DetaljerFUNNKe Regionalt kompetanseløft innen elektronisk samhandling. Begreper ved Lars-Andreas Wikbo
FUNNKe Regionalt kompetanseløft innen elektronisk samhandling Begreper ved Lars-Andreas Wikbo Norsk Helsenett: Et lukket nettverk for elektronisk kommunikasjon og samhandling i helse- og sosialsektoren
DetaljerINF1040 Oppgavesett 14: Kryptering og steganografi
INF1040 Oppgavesett 14: Kryptering og steganografi (Kapittel 19) Husk: De viktigste oppgavetypene i oppgavesettet er Tenk selv - og Prøv selv - oppgavene. Fasitoppgaver 1. Krypter følgende strenger ved
DetaljerElektronisk tilbudsinnlevering
Elektronisk tilbudsinnlevering Anskaffelseskonferansen 5. november 2015 Vibeke Engesæth Direktoratet for forvaltning og IKT Prosjektleder elektronisk tilbudsinnlevering Avdeling for offentlige anskaffelser
DetaljerBrukerdokumentasjon. Adresseregisteret Om Adresseregisteret
Brukerdokumentasjon Adresseregisteret Om Adresseregisteret FORORD FORORD Adresseregisteret er et felles nasjonalt register for presis adressering ved utveksling av helseopplysninger som sendes elektronisk
DetaljerAkseptansetest av mottak Elektronisk epikrise - Den gode epikrise
Akseptansetest av mottak Elektronisk epikrise - Den gode epikrise Meldingsversjon: 1.1 datert 23.09.2006 Akseptansetest av mottak Epikrise 2 Informasjon om mottakersystem Programvareleverandør: Navn og
DetaljerOm e-post Terminologi og standarder Sikkerhet. Om e-post. Hans Nordhaug. Institutt for informatikk Høgskolen i Molde 25.09.2014
Om e-post Hans Nordhaug Institutt for informatikk Høgskolen i Molde 25.09.2014 Tema 1 Om e-post 2 Terminologi og standarder 3 Sikkerhet E-post Ble tatt i bruk allerede i 1965 lokalt på en maskin og i 1966
DetaljerHjelpenummer for personer uten kjent fødselsnummer
Hjelpenummer for personer uten kjent fødselsnummer KITH Rapport 11/98 KITH-rapport Tittel Hjelpenummer for personer uten kjent fødselsnummer Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset
DetaljerVurdering av standarder fra NOSIP. Oktober 2010
Vurdering av standarder fra NOSIP Oktober 2010 1 Innholdsfortegnelse 1 Sammendrag...4 2 Bakgrunn og formål...4 3 Om gjennomgang av standarder i NOSIP...5 4 Grunnleggende kommunikasjon og interoperabilitet...6
DetaljerSikker Elektronisk Samhandling i helsesektoren
SESAM Sikker Elektronisk Samhandling i helsesektoren T T P Du ersyk! Dr.Iversen Prosjektbeskrivelse og hovedkonsepter Versjon 1.0 Mai 1999 KITH Rapport R 10/99 KITH-rapport Tittel SESAM Prosjektbeskrivelse
DetaljerIfølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:
Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede
Detaljereforum: drøfting av Seid leveranse 2
eforum: drøfting av Seid leveranse 2 16. februar 2006 John Bothner Teknisk Avdeling john.bothner@nsm.stat.no www.nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1 Agenda Kort om NSM Om Seid
DetaljerAkseptansetest av mottak Elektronisk henvisning
Akseptansetest av mottak Elektronisk henvisning Meldingsversjon: 1.0 datert 08.07.2005 Akseptansetest av mottak Henvisning 2 Innholdsfortegnelse 1. REVISJONSHISTORIKK... 3 2. AKSEPTANSETEST FOR MOTTAK
DetaljerTekniske forutsetninger - fakturadistribusjon. Drift torsdag 17. sept 1030-1115
Tekniske forutsetninger - fakturadistribusjon Drift torsdag 17. sept 1030-1115 Elektronisk fakturadistribusjon, oversikt efaktura og Avtalegiro - NETS Andre selskap internt (Epost faktura sendes på epost)
DetaljerID-Porten bruk av elektronisk ID i offentlige tjenester på nett
ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk
DetaljerFagdag om elektronisk meldingsutveksling i NT E-meldinger. Stiklestad 5.Desember 2014 Arne Gunnar Barstad
Fagdag om elektronisk meldingsutveksling i NT E-meldinger Stiklestad 5.Desember 2014 Arne Gunnar Barstad E-meldinger - Verdikjeden Agenda HEMIT Verdikjeden - overblikk E-MELDING Hva sendes, roller NHN
DetaljerElektronisk tilbudsinnlevering og andre e-bestemmelser
Elektronisk tilbudsinnlevering og andre e-bestemmelser Aksesspunktforum 25. september 2015 Vibeke Engesæth Avdeling for offentlige anskaffelser Nytt regelverk EØS-rettslig del Direktiv 2014/24/EU om offentlige
DetaljerAkseptansetest for mottak av PLO-meldingen: Helseopplysninger til lege
Akseptansetest for mottak av PLO-meldingen: Helseopplysninger til lege Meldingsversjon: Standard for elektronisk kommunikasjon med pleie- og omsorgstjenesten, versjon 1.5, datert 30.06.2009 2 Akseptansetest
DetaljerAP221 Use Case SBL Se kvittering
kvittering Se kvittering Når en innsendingstjeneste sendes inn opprettes det en kvittering som vises for bruker umiddelbart etter innsending. Kvitteringen kan senere hentes opp både for portalbruker, sluttbrukersystem,
DetaljerVurdering av standarder fra NOSIP. Beslutningssak i det 25. standardiseringsrådsmøte
Vurdering av standarder fra NOSIP Beslutningssak i det 25. standardiseringsrådsmøte 23.11.10 Om utredningen Utredningen omhandler hvilke standarder fra NOSIP som bør videreføres som obligatoriske forvaltningsstandarder
DetaljerLaget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016
Laget av Dato Orginal plassering fil. Johnny ndre Sunnarvik Nov 2015 http://innsiden.helse-vestikt.no/avdelinger/tjenesteproduksjon/anbudskrav/documents/sikkerhet.docx Dato Nov 2015 Des 2015 Nov 2016 Beskrivelse
DetaljerForelesning 3: Nøkkelhåndtering og PKI
Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2019 Workshop-oppgaver med løsningsforslag Forelesning 3: Nøkkelhåndtering og PKI Oppgave 1 a. Hvorfor er god håndtering av kryptografiske nøkler
DetaljerProsjektrapport HTTPS for offentlige webtjenester
Rapport Sist oppdatert: 2016-05-12 Prosjektrapport HTTPS for offentlige webtjenester 1 Innledning Cybersikkerhetsavdelingen i (NSM) har utarbeidet anbefaling om bruk av Hypertext Transfer Protocol Secure
DetaljerTechnical Integration Architecture Teknisk integrasjonsarkitektur
Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument
DetaljerUtredning av behov for HTTPS i offentlig sektor. Tillit, tilgjengelighet, brukervennlighet og effektivisering
Utredning av behov for HTTPS i offentlig sektor Tillit, tilgjengelighet, brukervennlighet og effektivisering Innhold Utredning av behov for HTTPS i offentlig sektor... 1 Tillit, tilgjengelighet, brukervennlighet
DetaljerTeori om sikkerhetsteknologier
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Tomas Holt 22.8.2007 Lærestoffet er utviklet for faget LN479D/LV473D Nettverksikkerhet Innhold 1 1 1.1 Introduksjon til faget............................
Detaljer6105 Windows Server og datanett
6105 Windows Server og datanett Leksjon 12a Kryptering, digitale sertifikater og PKI Fire behov for sikker kommunikasjon Tegnorientert kryptering Symmetrisk og asymmetrisk kryptering Digital signatur Digitale
DetaljerFire behov for sikker kommunikasjon
6105 Windows Server og datanett Leksjon 12a Kryptering, digitale sertifikater og PKI Fire behov for sikker kommunikasjon Tegnorientert kryptering Symmetrisk og asymmetrisk kryptering Digital signatur Digitale
DetaljerStandardisering av krypto i offentlig sektor
Direktoratet for forvaltning og IKT (Difi) Standardisering av krypto i offentlig sektor Vedlegg - Kryptografi og bruksområder Versjon 1.0 2011-07-22 Innhold 1 Teoretisk grunnlag 3 1.1 Kryptografi 3 1.2
DetaljerOFFENTLIG-NØKKELKRYPTOGRAFI
OFFENTLIG-NØKKELKRYPTOGRAFI S. O. SMALØ Abstract. I dette notatet, som skal inngå som pensum i etterog viderutdanningskurs i datasikkerhet, vil vi gi en kort innføring i oentlig-nøkkel-kryptogra med illustrasjoner
DetaljerAkseptansetest av mottak Elektronisk epikrise - Den gode epikrise
Akseptansetest av mottak Elektronisk epikrise - Den gode epikrise Meldingsversjon: 1.1 datert 23.09.2006 Akseptansetest av mottak Epikrise 2 Innholdsfortegnelse 1. REVISJONSHISTORIKK... 3 2. AKSEPTANSETEST
Detaljer1.2. Vi lagrer ikke personopplysninger på våre servere med mindre det kreves for den pågående driften av denne Tjenesten.
Personvernerklæring Dato for siste endring: 14. januar 2017 1. Sammendrag. 1.1. STRATACT driver nettstedet http://stratact.org (kort sagt, Tjenesten). STRATACT er et østerriksk selskap som arbeider under
DetaljerProMed. Brukermanual for installasjon av. Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator. for. for Windows
Side 1 av 21 Brukermanual for installasjon av Elektronisk meldingshåndtering / EDI inklusiv DIPS Communicator for ProMed for Windows Kundeoppfølging og Administrasjon Versjon 2.4 08.11.2014 Litt om Elektronisk
DetaljerKortversjon - Akseptansetest av sending Elektronisk epikrise - Den gode epikrise
Kortversjon - Akseptansetest av sending Elektronisk epikrise - Den gode epikrise Meldingsversjon: 1.1 datert 23.09.2006 Akseptansetest av sending Epikrise 2 Informasjon om avsendersystem Programvareleverandør:
DetaljerDin bruksanvisning NOKIA 6630 http://no.yourpdfguides.com/dref/822861
Du kan lese anbefalingene i bruksanvisningen, de tekniske guide eller installasjonen guide for. Du vil finne svar på alle dine spørsmål på i bruksanvisningen (informasjon, spesifikasjoner, sikkerhet råd,
DetaljerPKI og ikke-fornekting
Kryptografi MSc in Information Security PKI og ikke-fornekting Mats Byfuglien, mats@byfuglien.net Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik
DetaljerStatus for arbeidet med ID-Porten, eid i markedet
Status for arbeidet med ID-Porten, eid i markedet Felles infrastruktur for eid i offentlig sektor Tor Alvik og Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av
DetaljerElektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv
Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no Arbeidsgruppen for revisjon av tinglysingsloven 20. november 2009
DetaljerVedlegg B: Behandling i Standardiseringsrådet, DANE
Vedlegg B: Behandling i Standardiseringsrådet, DANE Innhold: Saksframlegg til Standardiseringsrådets møte 20180925-B Oppsummering av høringssvar - DANE Oppdatert forslag til anbefaling - DANE Side 1 av
DetaljerSikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering
Sikkerhets-problemer Innbrudd/Uautorisert tilgang til informasjon Avsløre informasjon og offentliggjøre den Stjele informasjon uten å gi seg til kjenne Forfalske/endre informasjon Forfalska informasjon,
DetaljerAkseptansetest for mottak av PLO-meldingen: Helseopplysninger ved søknad
Akseptansetest for mottak av PLO-meldingen: Helseopplysninger ved søknad Meldingsversjon: Standard for elektronisk kommunikasjon med pleie- og omsorgstjenesten, versjon 1.5, datert 30.06.2009 2 Akseptansetest
Detaljer- <!-- Generated on 04-10-2002 18:28:44 at KITH. - <!-- XML-Schema level supported is specified by W3C. - <!-- http://www.w3.
KITH-rapport 08/02 Status: Til utprøving 17. april 2002 edited with XML Spy v4.3 U (http://www.xmlspy.com) by Espen Stranger Seland (KITH) Generated on 04-10-2002
DetaljerAkseptansetest av mottak Svarrapportering av medisinske tjenester Immunologi
Akseptansetest av mottak Svarrapportering av medisinske tjenester Meldingsversjon: 1.3 datert 01.12.2008 Akseptansetest av mottak Svarrapportering av medisinske tjenester 2 Innholdsfortegnelse 1. REVISJONSHISTORIKK...
DetaljerTrioVing dp og dp CLIQ
TrioVing dp og dp CLIQ Avansert låssylinderteknologi ASSA ABLOY, the global leader in door opening solutions Teknologi i system Låssylinderen er låsens hjerne; den utskiftbare komponenten som kontrollerer
DetaljerBrukerveiledning for ERP leverandør/tredjepart om registrering av OCR avtaler med web grensesnitt til Nets. Versjon 1.0
Brukerveiledning for ERP leverandør/tredjepart om registrering av OCR avtaler med web grensesnitt til Nets Versjon 1.0 1 Innholdsfortegnelse 1 BRUKERVEILEDNING FOR TREDJEPARTER/ERP LEVERANDØRER OG DERES
DetaljerAvtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat
Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat 1. Kort beskrivelse av sertifikatstjenesten Commfides Virksomhetssertifikat er en elektronisk offentlig godkjent legitimasjon av en
DetaljerSESAM Sikker Elektronisk Samhandling i Helsesektoren. Versjon februar KITH Rapport 5/01 ISBN
SESAM Sikker Elektronisk Samhandling i Helsesektoren Versjon 1.0 28. februar 2001 KITH Rapport 5/01 ISBN 82-7846-108-2 KITH-rapport Tittel Felles meldingssentral i Midt- Norsk Helsenett Forfatter(e) Arnstein
DetaljerAkseptansetest av mottak Svarrapportering av medisinske tjenester Mikrobiologi
Akseptansetest av mottak Svarrapportering av medisinske tjenester Meldingsversjon: 1.3 datert 01.12.2008 Akseptansetest av mottak Svarrapportering av medisinske tjenester 2 Innholdsfortegnelse 1. Revisjonshistorikk...
DetaljerAkseptansetest for mottak av Overføring av legemiddelopplysninger (PLO/SUMO)
Akseptansetest for mottak av Overføring av legemiddelopplysninger (PLO/SUMO) Meldingsversjon: Standard for kommunikasjon av EPJ-innhold, versjon 1.0, datert 25.03.08 Akseptansetest mottak - Overføring
DetaljerElektronisk tilbudsinnlevering Leverandørkonferansen 10.februar 2015
Elektronisk tilbudsinnlevering Leverandørkonferansen 10.februar 2015 201401119_vme Elektronisk innlevering Mange spørsmål Hva vil det koste? og en del svar elektronisk innleveringsløsning Grunnpremiss:
DetaljerNoark 5 tjenestegrensesnittet Hvor er vi nå?
Noark 5 tjenestegrensesnittet Hvor er vi nå? 01. april 2019 Øivind Kruse, arkivar Bakgrunn Noark Noark 1-4 (1984-2008) Kravspesifikasjon for system for elektronisk journalføring Definert uttrekksformat
DetaljerAkseptansetest for mottak PLO-meldingen: Orientering om tjenestetilbud
Akseptansetest for mottak PLO-meldingen: Orientering om tjenestetilbud Meldingsversjon: Standard for elektronisk kommunikasjon med pleie- og omsorgstjenesten, versjon 1.5, datert 30.06.2009 2 Akseptansetest
DetaljerAkseptansetest for mottak av PLO-meldingen: Konsultasjon
Akseptansetest for mottak av PLO-meldingen: Konsultasjon Meldingsversjon: Standard for elektronisk kommunikasjon med pleie- og omsorgstjenesten, versjon 1.4, datert 20.02.2008 Akseptansetest mottak - PLO-melding
DetaljerAkseptansetest for mottak av administrativ kommunikasjon mot kjernejournal
Akseptansetest for mottak av administrativ kommunikasjon mot kjernejournal Meldingsversjon: Standard for administrativ kommunikasjon mot kjernejournal, versjon 1.0, datert 12.08.2008 Akseptansetest - Mottak
DetaljerSemicolon)kokebok)2.0$! Sjekkliste!ved!endring!og!etablering!av! informasjonsutveksling!!!
Semicolonkokebok2.0$!! Sjekkliste!ved!endring!og!etablering!av! informasjonsutveksling!!!!!!!!!!! Versjon!:! 2.0! Dato! :! 14.!Mars!2014! Forfattere:!!! - Per!Myrseth!(DNV!GL! - Erlend!Øverby!(Karde!AS!
DetaljerKS SvarUt. DDT 8. april 2014. Astrid Øksenvåg - KommIT. KommIT
KS SvarUt DDT 8. april 2014 Astrid Øksenvåg - Satsingsområder Digital dialog Strategisk ledelse og IKT Kompetanse Arkiv og dokumenthåndtering Personvern og informasjons-sikkerhet Arkitektur og standardisering
DetaljerAkseptansetest for mottak av PLO-meldingen: Tverrfaglig epikrise
Akseptansetest for mottak av PLO-meldingen: Tverrfaglig epikrise Meldingsversjon: Standard for elektronisk kommunikasjon med pleie- og omsorgstjenesten, versjon 1.3, datert 13.06.2007 Akseptansetest mottak
DetaljerForelesning 10. Web-sikkerhet og SSH
Forelesning 10 Web-sikkerhet og SSH 30. oktober 2002 Side 2 Nye problemstillinger med WWW I motsetning til Text-TV etc, er internett en toveis-affære Stadig flere bedrifter bruker WWW som ansikt utad Selv
Detaljer