1. WSTĘP
1.2. P ODSTAWOWE DEFINICJE
Na potrzeby niniejszej rozprawy przyjęto następujące podstawowe definicje algorytmu, protokołu, metody, modelu i systemu:
algorytm – „Algorytm jest uporządkowanym zbiorem jednoznacznych, wykonywalnych kroków, określającym skończony proces” (J. G. Brookshear [22]).
metoda – „Metoda, czyli system postępowania, jest to sposób wykonywania czynu złożonego, polegający na określonym doborze i układzie jego działań składowych, a przy tym uplanowiony i nadający się do wielokrotnego stosowania” (T. Kotarbiński [75]).
model informacyjny – „Model informacyjny jest reprezentacją koncepcji, relacji, ograniczeń, zasad oraz operacji, które określają semantykę danych dla wybranej domeny. Może dostarczyć udostępniane, stabilne i zorganizowane wymogi informacyjne w kontekście domeny” (R. Veryard [104]) .
protokół – „Reguły według których odbywa się komunikacja między różnymi składowymi systemu komputerowego” (J. G. Brookshear [22]).
system – „System jest pewną całością, w której współdziałają wyodrębnione części składowe. Funkcjonowanie systemu zależy od funkcji części składowych i związków między nimi. Powiązania części składowych określają strukturę systemu. Części składowe nazywamy często komponentami” (Z. Bubnicki [23]).
oraz przyjęto następujące znaczenie terminów dotyczących bezpieczeństwa (wg norm PN-I-02000 [94] i ISO/IEC 13888-1 [68] ):
- 9 -
autentyczność – właściwość polegająca na tym, że pochodzenie lub zawartość obiektu informatycznego są takie jak deklarowane;
integralność (dokładniej integralność danych) – właściwość polegająca na tym, że dane nie zostały wcześniej zmienione lub zniszczone w nieautoryzowany sposób;
niezaprzeczalność – brak możliwości wyparcia się swego uczestnictwa w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie;
niezaprzeczalność jest dzielona na typy m. in.:
o niezaprzeczalność pochodzenia – usługa przeznaczona jest do ochrony przed fałszywym zaprzeczeniem przez inicjatora faktu utworzenia zawartości wiadomości oraz jej nadania;
o niezaprzeczalność odbioru – usługa przeznaczona jest do ochrony przed fałszywym zaprzeczeniem przez odbiorcę faktu otrzymania wiadomości;
W Tab.1.1 zostały zebrane wymagania bezpieczeństwa wraz z ich opisami dotyczące długoterminowego przechowywania EHR. W tabeli Tab. 1.2 umieszczono wybrane wymagania z normy ISO 18306 [69] (L.p. 1-6) oraz z RFC 4810 [105] (L.p. 7, 8) wraz z opisami. W rozprawie sformułowanie „długi okres” oznacza okres wynoszący 100 i więcej lat będący maksymalnym okresem życia człowieka. W dalszej części rozprawy sformułowanie niezaprzeczalność EHR oznacza niezaprzeczalność odbioru i pochodzenia EHR.
Tabela 1.1: Wymagania bezpieczeństwa (źródło: opracowanie własne)
L.p. Kod
wymagania
Nazwa wymagania
Opis wymagania
1 AUT1.0 Autentyczność metadanych
Metoda musi umożliwiać stwierdzenie autentyczności zbioru metadanych z rejestrów opisujących dokumenty składające się na EHR;
2 NZP1.1 Niezaprzeczalność pochodzenia pojedynczego dokumentu
Metoda musi umożliwiać weryfikację w dowolnym momencie niezaprzeczalności pochodzenia pojedynczych dokumentów składających się na EHR;
3 NZP1.2 Niezaprzeczalność pochodzenia EHR
Metoda musi umożliwiać weryfikację w dowolnym momencie niezaprzeczalności pochodzenia EHR dla każdego pacjenta; przy czym uznaje się, że niezaprzeczalność pochodzenia EHR jest spełniona, gdy zbiór metadanych z rejestrów jest autentyczny i wszystkie dokumenty spełniają warunek niezaprzeczalności pochodzenia;
- 10 -
4 NZO1.1 Niezaprzeczalność odbioru
pojedynczego dokumentu
Metoda musi umożliwiać weryfikację w dowolnym momencie niezaprzeczalności odbioru przez system EHR pojedynczych dokumentów wysłanych do systemu przez specjalistę ds.
ochrony zdrowia;
5 NZO1.1 Niezaprzeczalność odbioru EHR
Metoda musi umożliwiać weryfikację w dowolnym momencie niezaprzeczalności odbioru EHR dla każdego pacjenta; przy czym uznaje się, że niezaprzeczalność odbioru EHR jest spełniona, gdy EHR jest autentyczny i wszystkie dokumenty składowe spełniają warunek niezaprzeczalności odbioru;
Stwierdzenie autentyczności zbioru metadanych umożliwia stwierdzenie, że zawartość zbioru metadanych otrzymanych w wyniku zapytania jest taka jak deklarowana, tj. metadane dotyczące wszystkich dokumentów składowych należących do danego pacjenta są obecne i niezmienione oraz nie zostały dodane fałszywe wpisy. Stwierdzenie autentyczności oraz niezaprzeczalności wymaga stwierdzenia integralności. Niezaprzeczalność pochodzenia pojedynczego dokumentu zapewnia, że składowy dokument został utworzony przez określonego specjalistę ds. ochrony zdrowia i nie może on temu zaprzeczyć.
Niezaprzeczalność odbioru pojedynczego dokumentu składowego umożliwia otrzymanie poświadczenia, któremu nie można zaprzeczyć, że dokument został odebrany od specjalisty ds. ochrony zdrowia w określonym czasie.
Tabela 1.2: Wymagania bezpieczeństwa (źródło: [69, 105])
L.p. Kod
wymagania
Nazwa wymagania
Opis wymagania
1 PRO2.7 Skalowalność Architektura systemu EHR nie powinna utrudniać przetwarzania bardzo dużych rekordów lub bardzo dużej liczby rekordów.
2 PRS4.1 Integralność danych
Architektura systemu EHR powinna obsługiwać środki zapewniające integralność danych przechowywanych w, pobieranych z oraz wysyłanych do EHR.
3 MEL1.1 Wymagania
prawne
Architektura systemu EHR powinna obsługiwać środki zapewniające dokładne odwzorowanie chronologii zdarzeń klinicznych i dostępności informacji w EHR.
- 11 - L.p. Kod
wymagania
Nazwa wymagania
Opis wymagania
4 MEL2.7 Odpowiedzialność autora I
Architektura systemu EHR powinna obsługiwać środki zapewniające, że każdy wpis do rekordu jest oznaczony datą i można zidentyfikować jego autora.
5 MEL2.8 Odpowiedzialność autora II
Architektura systemu EHR powinna obsługiwać środki zapewniające istnienie bezwzględnego wymogu, aby każdy wpis do rekordu był przypisany do aktora ochrony zdrowia, będącego w roli aktora lub nie.
6 MEL2.9 Atestacja wpisów Architektura systemu EHR powinna obsługiwać środki zapewniające, że każdy wpis do rekordu jest atestowany przez odpowiedzialną osobę.
7 LTA4.4 Poświadczenia Długoterminowa usługa archiwum musi być zdolna dostarczyć poświadczenia, które mogą być użyte do zademonstrowania integralności danych których dotyczą, od czasu odebrania danych w archiwum do końca okresu archiwizacji;
8 LTA4.7 Obsługa grup dokumentów
Archiwum długoterminowe powinno obsługiwać przedkładanie grup obiektów archiwalnych; w przypadku operowania na grupach obiektów, dowód niezaprzeczalności musi być również dostępny osobno dla każdego obiektu archiwalnego.