cdaefa Diskussion:EFA Sicherheitsanforderungen

Aus Hl7wiki
Version vom 24. Januar 2014, 15:40 Uhr von Jcaumanns (Diskussion | Beiträge) (Aktuelle Fassung der Kommentar-Tabelle eingefügt.)
Wechseln zu: Navigation, Suche

Kommentierung

Author Status Section Existing Proposed Comment Comment Editor Discussion
gematik included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern Stabilität des Vertrauensverhältnis zum ausstellenden Dienst Was bedeutet hier konkret Stabilität? Gemeint ist das Vorhandensein des Vertrauensverhältnisses zum ausstellenden Dienst. Technisch bedeutet das: Das Zertifikat des Dienstes muss valide und nicht zurückgezogen sein, der Zertifikataussteller muss vertrauenswürdig sein.
sh included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern bereitstellung Bereitstellung
sh included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern bennennen benennen
sh included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern identifikation Identifikation
sh included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern Athentisierung Authentisierung
ti included Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern Ich würde empfehlen das Thema Haftung hier nicht zu erwähnen. Die Haftungsregelung zwischen Identity Provider und EFA Provider sind ein eigenes Thema, das an dieser Stelle nicht ausgiebig behandelt werden kann. Ich würde daher nur vom "ausstellendem Dienst" sprechen, nicht vom "ausstellenden (und haftenden)". (ti, 29.05.2013) OK, insbesondere da ja auch der Besitzer der zur Authentisierung genutzten Objekte in bestimmten Fällen haftet (und die Spannbreite hier recht groß sein kann, wenn man sich hier auf der einen Seite die Gepflogeheiten im Onine-Banking und auf der anderen Seite die weitgehende Haftung des Bürgers bei der schweizerischen SuisseID anschaut).
gematik included Eierf.02 : Autorisierung von EFA-Teilnehmern Unvollständige oder fehlende Informationen über qualifizierte Rolle und/oder Zugriffskontext SOLLTEN eine eventuelle Datenanfrage unterbinden. Wer soll was und wie unterbinden? Die dem Fachdienstes vorgelagerte Komponente zur Sicherheitsprüfung (Policy Enforcement Point) darf nicht solche Datenanfragen verarbeiten. Stattdessen muss schon bei der Sicherheitsprüfung der Vorgang abgebrochen und eine Fehlernachricht an den Aufrufer übermittelt werden. Da dies aber durch die Verzahnung der Anwendungs- und Sicherheitsdienste implizit gewährleistet ist, kann der Satz entfallen.
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern berechtig berechtigt
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern Patienteinwilligung Patienteneinwilligung
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern muster Muster
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern legetime legitime
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern fallbezogen und und zum Ziel fallbezogen und zum Ziel
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern qualifizierter qualifizierten
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern obiegt obliegt
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern Sichehreitsrichtlinie Sicherheitsrichtlinie
sh included Eierf.02 : Autorisierung von EFA-Teilnehmern datenverarebitende datenverarbeitende
ti included Eierf.02 : Autorisierung von EFA-Teilnehmern Falls deny-biased im Sinne von XACML (d.h. ein "deny-biased PEP") gemeint ist, ist die Definition nicht korrekt. Jeder PEP führt bei eventuellen Negativindikatoren zu einer Negativentscheidung (nicht zum Abbruch der Entscheidungsfindung!). Nur ein "deny-biased PEP" führt auch ohne Negativindikatoren, sondern einzig durch das Ausbleiben von "Positivindikatoren" zu einer Negativentscheidung. Wenn es hier um die Kombination unterschiedlicher Regeln geht, sprechen wir eher von einem "deny-override". Ggf. wären hier ein paar Beispiele für Negativindikatoren sinnvoll, um den Text verständlicher zu machen. (ti, 29.05.2013) Satz wurde eim Sinne des Kommentars klargestellt.
gematik included Eierf.03 : Vertraulichkeit Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten Inhalte / Werte so ablegen, dass keine Rückschlüsse …,. Ist das damit gemeint? Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen.
sh included Eierf.03 : Vertraulichkeit korrete korrekte
sh included Eierf.03 : Vertraulichkeit muss müssen
sh included Eierf.03 : Vertraulichkeit Die zur Übertragung benötigten personenbezogenen und/oder medizinische Informationen und deren potenzielle Offenbarung außerhalb der Fallakte (wie beispielsweise durch Metadaten) sind auf das zwingend notwendige Minimum zu beschränken. Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten und sollten keine Rückschlüsse auf die innerhalb der Fallakte gekapselten personenbezogenen und/oder medizinische Informationen zulassen. Semantikfrei? Würde ja auch den Informationstypen ausschließen, der als Metadatum am Informationsobjekt hängt. Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen.
sh included Eierf.03 : Vertraulichkeit ausgetauschet ausgetauscht
ti included Eierf.03 : Vertraulichkeit "außerhalb der Fallakte (wie beispielsweise durch Metadaten)" Dies würde andeuten dass die Dokumentenmetadaten in der Registry nicht als Teil der Fallakte zu verstehen sind. Dies entspricht aber nicht der vorherigen Definition einer Fallakte (z.B. beim Einstellen von Daten werden sowohl das Dokument als auch die Metadaten einer Partition zugeordnet, die Teil der Fallakte ist. Wenn es hier um eine abgestufte Handhabe von Dokumenten und deren Metadaten geht, um z.B. eine Verschlüsselung der Dokumente ohne eine Verschlüsselung der Metadaten zu begründen, verstehe ich den Beweggrund, würde aber eine andere Darstellung bevorzugen (d.h. Metadaten sind - ähnlich wie demografische Daten des Patienten - ein weniger schützenswerter Teil der Fallakte als die Dokumenteninhalte). (ti, 29.05.2013) Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen.
gematik included Eierf.03.01 : EFA Secure Channels Die datenhaltende Stelle muss ... authentisieren (Mutual Node Authentication) Auch mit mehreren Vertrauensräumen möglich? Ja. Secure Channels kommen jeweils zwischen Kommunikationspartnern zum Einsatz. Es wird eine Punkt-zu-Punkt, allerdings keine Ende-zu-Ende-Sicherheit gefordert. Satz klarer formuliert.
gematik included Eierf.03.01 : EFA Secure Channels durchgängig unbelauschbar, durchgängig isoliert, davor bewahrt werden, Rückschlüsse zu ermöglichen Erläuterung der Motivation, Zielgruppe? Motivation: Transportverschlüsselung, Zielgruppe: alle Kommunikationspartner. Satz wurde klarer formuliert.
gematik included Eierf.04 : Authentizität und Integrität von EFA Daten gesicherte Informationen über Identität der datenvermittelten Stelle (beispielsweise ein Zwischenspeicher-Szenario) Welche Szenarien gibt es konkret? XCA-Gateway im P2P-Szenario. Ausführungen wurden entsprechend konkretisiert.
gematik included Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail nachträgliche lückenlose Rekonstruktion der Kommunikation und des Kontexts möglich Was bedeutet nachträglich und lückenlos im Kontext? Nachträglich: nach erfolgtem Zugriff auf einen Fachdienst, Lückenlos: alle Transaktionen auf der EFA-Anwendungsebene
gematik included Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail Sollten lediglich Minimalaufbewahrungsfristen gewahrt werden, so sind alle direkt Betroffenen über diesen Umstand geeignet zu unterrichten. Zu welchem Zweck? Wer ist direkt betroffen? Der Patient, die Ärzte…? Konkretisiert: Patienten und Ärzte sind zu unterrichten.
gematik included Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail medizinischen Daten vor Zugriffen unberechtigter Dritter zu schützen und verfügen prinzipiell über den gleichen Schutzbedarf wie die darin enthaltenen Daten Prinzipiell? "Prinzipiell" gestrichen
gematik included Eierf.06 : Verfügbarkeit von EFA-Teilnehmern und EFA-Daten Eventuelle Providencefehler und/oder Unvollständigkeiten bezüglich der in der Datenübertragung kommunizierten Daten sind stets zu Nachweiszwecken unfänglich von allen beteiligten Kommunikationspartnern zu eigenständig dokumentieren. Genauer Formulieren Hinweis auf die zusätzlich zu protokolliernenden Informationen eingefügt.