Välittäjän määritelmä:

Transkriptio

1 Kansalliset vaatimukset välittäjälle Välittäjän määritelmä: Välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta. Välittäjällä tarkoitetaan terveydenhuollon organisaation tai apteekin KanTa-liitynnän toteuttamisessa käyttämää palveluntarjoajaa, jolla on tässä roolissa mahdollisuus nähdä salaamattomia potilastietoja, esim. ylläpitotoimien yhteydessä. Valviran palvelinvarmenteella toteutettava SSL/TLS-salattu yhteys muodostetaan yleensä välittäjän ja KanTa-palvelujen välille. Välittäjäksi ei määritellä organisaatiota, joka toimii ainoastaan SSL/TLS-salatun tietoliikenteen reitittäjänä eikä voi nähdä salaamattomia potilastietoja. Välittäjän erityistapaus on organisaatio, joka on itse KanTa-liittyjä, esim. sairaanhoitopiiri tai sen liikelaitos. Kansalliset vaatimukset välittäjälle 1

2 Luottamuksellisuus ja eheys 1 Tietoliikenteen salaus ja tietojen luottamuksellisuus Sähköisen lääkemääräyksen, potilasasiakirjojen ja niihin liittyvien luottamuksellisten tietojen siirtäminen KanTa-palveluun tai sieltä muualle on salattu (vähintään esim. SSL 3.0/TLS 1.0) ja sähköisesti allekirjoitettu. Sivulliset eivät saa saada selville suojattuja tietoja eivätkä tiedot saa muuttua tiedonsiirron aikana. Mikäli välittäjätaho joutuu purkamaan SSLsalauksen, tulee välittäjätahon huolehtia muulla tavoin siitä, että tietojen luottamuksellisuus ei vaarannu (esim. tekninen muunnos, käyttäjäoikeuksien poisto muunnoksen tekevään järjestelmään, järjestelmän käytön lokitus ja lokien valvonta) Tarkastetaan järjestelmäkuvaukset, kuvaukset salauksesta, allekirjoituksesta ja avainten/sertifikaattien käsittelystä järjestelmässä. Viestit ja dokumentit voidaan välittää salaamattomana käytettäessä point-point VPNyhteyksiä tai sovellutus-ohjelmien välistä SSL/TLS-yhteyttä. Muuten viestit tulee salata luotettavalla tekniikalla (muita ovat mm. SSH ja IPsec. myöhemmin on tulossa mahdollisesti WS- Security Encryption) Tällä hetkellä Kela tukee SSL 3.0 ja TLS 1.0-tekniikoita. Yhdistetty aiemmat kohdat 1 ja 2 Vahva tunnistaminen 2 Sähköisen viestinnän molemmat osapuolet ja laitteet tulee tunnistaa KanTa-palveluiden sanomat siirretään salattua https-protokollaa käyttäen "two-way SSL" - tavalla, eli SSL-yhteyden asiakas ja palvelin esittävät toisilleen sertifikaatit, joilla kummankin identiteetti varmennetaan ennen varsinaisen yhteyden muodostamista. Myös TLS toteutus on hyväksyttävä. Molemmat osapuolet tulee todentaa, ei vain palvelinpäätä, kuten tyypillisesti tehdään. Apteekit, palveluntuottajat ja Kansalliset vaatimukset välittäjälle 2 Varmistetaan, että järjestelmä muodostaa toimivan two-way SSL (tai TLS) https-yhteyden reseptikeskukseen sanomien välittämistä varten tai että reseptikeskuksesta on toimiva salattu yhteys järjestelmiin. Tarkastetaan sertifikaatit ja sertifikaattien avainten bittimäärä ja algoritmi salauksen vahvuuden toteamiseksi. Varmistetaan, että sekä palvelin että asiakaspää (client) tunnistetaan. Yhdistetty 3 ja 4

3 käyttäjäorganisaatiot sekä niiden ko. palveluun Tarkastetaan toimintayksiköiden liittyvät palvelimet tulee luotettavasti tunnistaa varmennepolitiikat ja varmennepalvelujen niiden liittyessä KanTa-palveluun ennen käyttösopimukset (sitoutuminen Valvira:n sähköisen yhteyden aloittamista. ehtoihin). Versio 2.0, Valvonta ja lokitus 3 Lokitietojen muuttumattomuus Lokitietojen muuttumattomuus tulee varmistaa. Lisäohjeistus: Vahti 3/2009 Tarkastetaan miten järjestelmän lokiympäristö on toteutettu. 4 Käyttöloki Välittäjänä käytettävä tietojärjestelmä ylläpitää käyttölokia, josta löytyy riittävän yksityiskohtaiset tiedot. Riittävillä lokitiedoilla tarkoitetaan lokia, joka sisältää vähintään tiedot siitä: kuka järjestelmään on ollut kirjautuneena ja mitä toimia hän on järjestelmässä tehnyt mitä tietoja kyseiselle käyttäjälle on näytetty (jos osa haetuista tiedoista suodatetaan järjestelmän toimesta) milloin järjestelmässä on mitäkin toimia tehty millaisia toimia, johon oikeudet eivät ole riittäneet, on yritetty tehdä 5 Lokien seurantaväline Tietojärjestelmässä on väline lokitietojen seuraamiseen. Lokit on pystyttävä hakemaan saataville säännöllistä seurantaa ja valvontaa varten. Vaatimukset välittäjäorganisaatiolle Tarkastetaan järjestelmän lokiasetukset ja määritysmahdollisuudet ja käydään läpi otos lokitiedoista. Varmistetaan joko järjestelmän tuottamasta lokitiedosta tai dokumentaatiosta, että vaatimukset täyttyvät Tarkastetaan että järjestelmässä on väline lokitietojen seuraamiseen ja valvontaan. Kansalliset vaatimukset välittäjälle 3

4 6 Tietoturvapolitiikka Välittäjäorganisaatiolla on tietoturvapolitiikka Tarkastetaan, että organisaatio on voimassaoleva laadittuna ja se on otettu käyttöön ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden saavuttamiseksi. 7 Nimetty Organisaatiolle on nimetty tietosuojavastaava ja Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava hänen toimenkuvansa on määritelty tietosuojavastaava ja hänen toimenkuvansa on 8 Tietosuojan valvonta Välittäjätaholla on laadittu tietosuojaan liittyvä seuranta- ja valvontasuunnitelma ja prosessi, jolla valvotaan miten välittäjätaholle esim. ongelmanselvittelyssä tietoon tulevia potilastietoja suojataan. Tietosuojan valvontaprosessissa on oltava selkeät määrittelyt ja ohjeet miten ja missä tilanteessa saadaan tutkia liikennettä ja millä valtuutuksilla ja miten tämä selvitystyö dokumentoidaan. 9 Tietoturvan valvonta ja seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osaalueisiin: määritelty Tarkastetaan, että välittäjätaholla on tietosuojaan liittyvä seuranta- ja valvontasuunnitelma, jossa on määritetty miten välittäjätaholle esim. ongelmanselvittelyssä tietoon tulevia potilastietoja suojataan. Tietosuojan valvontaprosessissa on oltava selkeät määrittelyt ja ohjeet miten ja missä tilanteessa saadaan tutkia liikennettä ja millä valtuutuksilla ja miten tämä selvitystyö dokumentoidaan. Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu toimittavan, jos väärinkäytöksiä ilmenee. Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Yhdistetty 15 ja 16 Siirretty kohta 24 Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) Kansalliset vaatimukset välittäjälle 4

5 10 Valtionhallinnon tietoturvatasot 11 Ohjeet potilastietojen käsittelystä Voimassa olevien valtionhallinnon Tarkastetaan, miten vaatimusten toteutuminen on tietoturvatasojen liitteen 2 vaatimukset varmistettu/todennettu tietoturvalle järjestelmien hallintaan tulee täyttyä korkean tason vaatimusten mukaisesti. Välittäjäorganisaatiolla tulee olla kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle niitä tilanteita varten, joissa potilastietoja joudutaan käsittelemään. Organisaation on huolehdittava henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä. 12 Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksiantotai muissa sopimuksissa tai niiden liitteissä. Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan osapuolten välisistä sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Siirretty kohta 38 Siirretty kohta 22 Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita Kansalliset vaatimukset välittäjälle 5

6 13 Viestinvälityksen sopimukset ja lainsäädäntö Viestinvälityksen / tietoliikenteen tietosuojaa Tarkastetaan, että organisaatioiden välisissä koskevat vaatimukset ja vastuiden määrittely sopimuksissa on huomioitu vaaditut viestinnän tulee olla osa organisaation ja luottamuksellisuuteen liittyvät vaatimukset viestinvälitysoperaattorin välistä sopimusta. (tietoturvapolitiikan ja tämän paperin Tietoturva tulee olla toteutettu organisaation liikenteen salaukseen ja luottamuksellisuuteen tietoturvapolitiikan mukaisesti. liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Versio 2.0, Yhdistetty 17 ja 18 Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. 14 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Siirretty kohta 28 Kansalliset vaatimukset välittäjälle 6

7 15 Hallintayhteydet järjestelmään Mikäli järjestelmään ylläpidollisista tai muista Selvitetään miten mahdolliset etäyhteydet syistä sallitaan etäyhteyksiä, yhteydet järjestelmään on toteutettu järjestelmään tulee olla salattuja päästä päähän (ylläpitäjän koneelta ylläpidettävään Tarkastetaan että hallintayhteydet on toteutettu järjestelmään asti) esim. VPN-tunnelilla. Lisäksi salatulla yhteydellä, esim. VPN, SSH, SSL/TLS etäyhteyksien käyttäjät tulee tunnistaa tai hallintayhteyksille on oma suojattu verkkonsa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää (ei pelkästään salasanaa ja käyttäjätunnusta) Versio 2.0, Siirretty kohta 29 Hallintayhteydet järjestelmään tulee joko salata vahvasti tai rakentaa käyttäen omaa suojattua verkkoa hallintayhteyksille. Vaatimus koskee myös sisäverkon yhteyksiä. 16 Tietoliikenneyhteydet Tietoliikenneyhteydet pitää rakentaa riittävän nopeiksi siten, että niiden tarjoamat vasteajat ovat riittävän lyhyitä. Tietoliikenneyhteydet olisi hyvä olla kahdennettu riittävän palvelun takaamiseksi tai niiden kahdentamisesta pitäisi olla suunnitelmat. Tarkastetaan miten pitkät vasteajat järjestelmässä on / miten tietoliikenneyhteydet on kahdennettu / minkälaiset suunnitelmat kahdentamisesta on. Siirretty kohta Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat Kansalliset vaatimukset välittäjälle 7

8 18 Käyttöoikeuskirjanpito Käyttöoikeuksista ja niihin tehdyistä muutoksista Tarkastetaan, että on olemassa sähköinen tai muu tulee pitää kirjaa/lokia. Organisaatiolla on kirjanpito, josta voidaan todentaa haetut, käytössään käyttäjä- ja käyttöoikeuksien hyväksytyt, implementoidut, poistetut jne. hallintajärjestelmä. käyttöoikeudet 19 Käyttöoikeuksien jako ja hallinta Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Tarkastetaan käyttöoikeuksien yksityiskohtainen määrittely ja ajantasainen ylläpito organisaatiossa käyttäjien tehtävien ja vastuiden perusteella Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu. 20 Käyttäjätunnusten yksilöllisyys Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. Siirretty kohta Tunnistautuminen järjestelmiin Silloin, jos yhteiskäyttöisiä tunnuksia ei voida teknisestä tai muusta perustellusta syystä välttää, pitää muulla luotettavalla menetelmällä pystyä todentamaan kuka tunnusta on milloinkin käyttänyt. Järjestelmiin tulee sallia kirjautuminen ainoastaan vahvaa tunnistusmekanismia käyttäen tai vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (toimikortti) tai vahva salasana. Siirretty kohta 35 Kansalliset vaatimukset välittäjälle 8

9 22 Salasanat Mikäli järjestelmän käyttäjillä on käytössä Tarkastetaan salasanaparametrit järjestelmistä Siirretty kohta 36 salasanat, tulee niiden määritysten olla erittäin vahvat ja vaihto säännöllistä. Vahvan salasanan parametrit: Minimipituus 8 merkkiä, vaaditaan kompleksista salasanaa (erikoismerkkejä, numeroita ja isoja/pieniä kirjaimia), salasanahistoria min. 12 edellistä salasanaa, salasanan maksimi-ikä 40pv, minimi-ikä 1pv, väärien kirjautumisyritysten maksimimäärä 5 yritystä, jonka jälkeen tunnus lukkiutuu eikä avaudu automaattisesti. Vanhenemisvaatimukset eivät koske teknisten tunnusten salasanoja. 23 Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Kansalliset vaatimukset välittäjälle 9

10 24 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla Tarkastetaan toipumissuunnitelmien olemassaolo. dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään 25 Järjestelmän kovennus Järjestelmissä ei saa olla ylimääräisiä palveluita päällä eikä turhia avonaisia portteja 26 Haittaohjelmasuojaus palvelimilla Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Organisaatiolla tulee olla olemassa määritetty laitekokoonpano, jonka mukaan järjestelmän tietoturva-asetukset tehdään. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä. Vaatimus koskee sellaisia järjestelmiä, jotka tyypillisesti ovat alttiita viruksille, ja joihin on (kaupallisesti) saatavilla virustarkastusohjelma. 27 Järjestelmien päivitykset Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön Tarkastetaan, miten järjestelmät kovennetaan ja testataan ennen käyttöönottoa. Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset. Tarkastetaan järjestelmän käyttäjätunnukset Tarkastetaan että palvelimilla on käynnissä haittaohjelmien suojaus, joka pystyy tunnistamaan virukset, vakoiluohjelmat ja muut haittaohjelmat ja että suojaus päivittyy säännöllisesti ja automaattisesti. Tarkastetaan miten järjestelmien päivitys on hoidettu. Yhdistetty 30 ja 31 Kansalliset vaatimukset välittäjälle 10

11 asentamista. Versio 2.0, Sovellusturvallisuus Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmät tulee säännöllisesti tarkastaa jo kehitysvaiheessa sekä tuotantoonoton jälkeen haavoittuvuuksien varalta. Tarkastetaan, miten järjestelmien kehityksessä, testauksessa ja ylläpidossa huomioidaan tietoturvallisuus. Tarkastetaan, tehdäänkö järjestelmille ennen tuotantoonsiirtoa ja sen jälkeen säännöllisesti haavoittuvuustestauksia tai miten tietoturvallisuudesta huolehditaan. Kansalliset vaatimukset välittäjälle 11