Et begrebssystem for. informationssikkerhed

Transkript

1 Rapport fra nbs06 Informationssikkerhed Side 1 af 150 Et begrebssystem for informationssikkerhed Rapport fra arbejdsgruppe nbs06 under Det Nationale Begrebsråd for Sundhedsvæsenet Maj 2006

2 Rapport fra nbs06 Informationssikkerhed Side 2 af 150 Indholdsfortegnelse: 1 INDLEDNING INFORMATIONSSIKKERHEDENS AKTUALITET ARBEJDETS OMFANG DELTAGERE TIDSPLAN Prioritering af arbejdet LÆSEVEJLEDNING DOMÆNETS BEGREBSSYSTEM FAKTUELLE FORHOLD Diagrammer Relationer mellem begreberne VIGTIGE FORHOLD FOR FORSTÅELSE AF BEGREBSSYSTEMET Afgrænsning af domænet Afgørende beslutninger Anvendelse af generelle begreber og relationstyper SÆRLIGE FORHOLD OG PROBLEMER I DE ENKELTE FASER Fase 2: Udvælgelse og gruppering af begreber Fase 1: Udvælgelse af referencemateriale Fase 3: Udarbejdelse af skitse til begrebssystemer ARBEJDSFORM MØDER KVALITETSSIKRING SÆRLIGE FORHOLD OG PROBLEMER VEDRØRENDE ARBEJDSMETODE KONKLUSION PÅ ARBEJDET KILDELISTE BILAG BILAG 1: DIAGRAMMER Læsevejledning til diagrammerne Totaldiagram hele begrebssystemet Opdeling i deldiagrammer Oversigtsdiagram over informationssikkerhed Sikkerhedsrisiko Risikoanalyse Sikringsforanstaltning Organisatorisk sikringsforanstaltning Teknisk sikringsforanstaltning Aktører - informationssikkerhed Informationssikkerhed specielle begreber BILAG 2: ALFABETISK BEGREBSLISTE BILAG 3: BEGREBER OG TERMER TIL SENERE BEARBEJDNING Ubearbejdede begreber og termer Utilstrækkeligt bearbejdede begreber

3 Rapport fra nbs06 Informationssikkerhed Side 3 af Indledning Nærværende dokument supplerer afrapporteringen fra begrebsarbejdsgruppen 06 Informationssikkerhed under det Nationale Begrebsråd for Sundhedsvæsenet. Hoveddelen af afrapporteringen findes i begrebssystemet om informationssikkerhed, der er publiceret på og som udgør arbejdsgruppens hovedleverance: et begrebssystem med definitioner og relationer for domænet Informationssikkerhed. Ved bearbejdningen af dette domæne har det været en principiel vanskelighed, at udgangspunktet for alt begrebsarbejde under det Nationale Begrebsråd for Sundhedsvæsenet er de særlige begreber, der anvendes i sundhedsvæsenet. For domænet Informationssikkerhed gælder det imidlertid, at det kun er meget få begreber, som er specifikke for sundhedsvæsenet. De sundhedsspecifikke begreber findes måske kun som specialiseringer af begrebet national forskrift. Derfor er den største del af arbejdet foregået, som om det drejede sig om informationssikkerhed i almindelighed; og det er da også arbejdsgruppens håb, at begrebssystemet kan findes nyttigt uden for sundhedsvæsenets område. Man kan også stille spørgsmålet, om informationssikkerhed enten er anderledes eller i det hele taget er mere relevant for sundhedsvæsenet end for så mange andre dele af samfundet. Det er allerede ved en umiddelbar betragtning tydeligt, at informationssikkerhed i sundhedsvæsenet ikke er meget anderledes end så mange andre steder, og dette er blevet bekræftet i nærværende arbejde. Der findes altså ikke noget argument for, at en begrebsafklaring inden for informationssikkerhed netop skal ske i sundhedsvæsenet. Der er godt nok i sundhedsvæsenet et klart ønske om, at informationssikkerheden generelt er på et højt niveau, men tilsvarende ønsker findes også på en række andre områder i samfundet. Der er imidlertid mindst to grunde til, at sundhedsvæsenet har en særlig interesse i at få begreber inden for informationssikkerhed afklaret som beskrevet i de følgende afsnit. 1.1 Informationssikkerhedens aktualitet Det er netop i disse år, at sundhedsvæsenet går over til at håndtere patienternes detaljerede helbredsinformationer i bredt forbundne it-systemer. Informationssikkerheden i de gammelkendte papirsystemer har kun krævet beskeden opmærksomhed, fordi deres muligheder og begrænsninger er så velkendte. Derimod har de digitale systemer langt større anvendelsesmuligheder, gevinstpotentiale, misbrugsrisici, begrænsnings- og kontrolmuligheder. Disse er både mere komplekse og mindre kendte. Klare afgrænsninger, sammenhænge og betegnelser for de involverede begreber er en forudsætning for at kunne beskæftige sig seriøst med alle disse muligheder. Den anden grund for sundhedsvæsenet til at analysere og beskrive begreber inden for informationssikkerhed er, at en netop igangværende afklaring af tilgrænsende begrebsområder i sundhedsvæsenet i sig selv giver et behov for præcisering af begreber i dette nabo-område. Det er arbejdsgruppens opfattelse, at en samlet og ontologisk orienteret gennemarbejdning af domænet Informationssikkerhed ikke tidligere er gjort, og gruppen har ikke fundet autoritative, velstrukturerede begrebssystemer for domænet i kildematerialet. 1.2 Arbejdets omfang Den analyse og beskrivelse af begreberne, som her afrapporteres, gør på ingen måde krav på at være udtømmende det er forsøgt at identificere mange begreber og bestemme deres relationer, men det har pga. den givne tids- og ressourceramme været nødvendigt at prioritere en del af begreberne til en grundig bearbejdning. Det vil bl.a. være muligt videre at underinddele mange af de identificerede begreber. Der er identificeret yderligere begreber, som alene er beskrevet ved deres relative placering i begrebssystemet. Mange begreber er altså ikke færdigbearbejdet på et terminologisk acceptabelt niveau, men vises alene for orienteringens skyld i bilag 3.

4 Rapport fra nbs06 Informationssikkerhed Side 4 af Deltagere I arbejdet har følgende deltaget: Jørn Knudsen, IT-sikkerhedskoordinator, H:S Direktionen (Per Loubjerg, IT-chef, Hvidovre Hospital har flere gange vikarieret planlagt) Anne-Mette Skou, Begrebssekretariatet, H:S Direktionen (fra juni 2005) Hans Harbøll, IT-seniorkonsulent, afd. for planlgn. og IT, Psykiatri- og sundhedsområdet, Ribe Amt Trine Jørgensen, Systematic Software Engineering Hrönn Sigurdardottir, IT-afdelingen, Københavns Amt (indtil september 2004) Lars Stubbe Teglbjærg, overlæge, Medicinsk afd. M, Svendborg Sygehus Elisabeth Hersby, Sundhedsstyrelsens Enhed for Kvalitet, Overvågning og Tilsyn Ole Terkelsen, Sundhedsstyrelsens Enhed for Sundhedsinformatik (fra februar 2005) Bodil Nistrup Madsen, professor, DANTERMcentret (i en del af møderne) Camilla Wiberg Danielsen, terminolog, DANTERMcentret (fra maj 2005), Sundhedsstyrelsens Enhed for Sundhedsinformatik fra Søren Lippert, tidligere Sundhedsstyrelsens Enhed for Sundhedsinformatik, fra konsulent i SLIQ (formand) Endvidere har Knud Mose, Specialkonsulent, IT- og Telestyrelsen, deltaget i de sidste to arbejdsmøder. 1.4 Tidsplan Arbejdet har strakt sig over næsten to år, selvom den oprindelige planlægning forudså ca. ½ års arbejdsperiode. Efter kick-off-møde den har arbejdsgruppen den deltaget i et kort kursus i terminologisk arbejde med ontologisk tilgang. Herefter har gruppen holdt 14 arbejdsmøder af i alt 16 dages varighed med løsning af planlagte arbejdsopgaver mellem flere af møderne. Begrebssystemet og nærværende rapport er afleveret til Sekretariatet for det Nationale Begrebsråd for Sundhedsvæsenet den Der er flere årsager til, at arbejdet har taget længere tid end først planlagt. Initialt var det vanskeligt at nå frem til en passende snæver afgrænsning af den del af domænet Informationssikkerhed, som skulle bearbejdes (se afsnit 2.2.1) og sammenhængende hermed har arbejdsgruppen haft et højt ambitionsniveau for begrebssystemets omfang og kvalitet. Det har vist sig vanskeligere end forventet at gennemføre en tilstrækkelig stor arbejdsindsats mellem møderne. I den sidste fase har en supplering af arbejdsgruppen af hensyn til bredden i kompetencer og ønsket om at opnå størst mulig sammenhæng mellem begrebssystemet og høringsforslaget til ny danske standard for informationssikkerhed, DS 484:2005(forslag) betydet en forlængelse af arbejdet Prioritering af arbejdet Tidsrammen og arbejdsformen for dette arbejde har tilsammen sat nogle begrænsninger, der ikke har gjort det muligt at bearbejde alle de identificerede begreber. Bearbejdningen af begreberne er søgt prioriteret ud fra hensyn til behov for begreber i sundhedsvæsenets informatiske udviklingsarbejde og hensynet til en klar sammenhæng mellem disse begreber. Fx er der behov for at fokusere på sikringsforanstaltninger, og derfor er begrebet sikringsforanstaltning anskuet fra tre forskellige synsvinkler (formål, grad og middel). For at danne et godt fundament for hele begrebssystemet er selve begrebet informationssikkerhed og dets underbegreber analyseret meget grundigt og beskrevet med stor omhu. Arbejdsgruppen har generelt givet højest prioritet til de begreber, der er nærmest relateret til det centrale begreb informationssikkerhed.

5 Rapport fra nbs06 Informationssikkerhed Side 5 af Læsevejledning I bilagene til denne rapport vises alle begrebssystemets begreber i diagramform (Bilag 1) og systematisk beskrevet i alfabetisk orden (Bilag 2). Begreberne ses dog bedst på hvor både diagrammer og anden information om begreberne inkl. kommentarer kan tilgås vha. hyperlinks. Diagrammerne findes i rapportens Bilag 1, mens Bilag 2 indeholder en tekstudskrift af de informationer, der er knyttet til hvert begreb. Denne udskrift er automatisk genereret og ikke overskuelig, men alfabetisk ordnet og kan benyttes til opslag. Bilag 3 indeholder information om begreber og termer, der er identificeret som hørende til domænet informationssikkerhed, men som ikke er tilstrækkeligt bearbejdede til at blive publiceret som en del af nærværende begrebssystem, I denne rapport skrives begrebssystemets termer i enkelte anførselstegn xxx og med lille begyndelsesbogstav overalt. Læsevejledning til diagrammerne findes i Bilag 1 (afsnit 6.1.1). Rapporten indeholder ud over denne indledning en kort redegørelse for nøglefakta vedr. begrebssystemet (afsnit 2) nogle af de vigtigste overvejelser vedr. nogle centrale begreber (afsnit 2) en kort beskrivelse af arbejdsprocessen (afsnit 3) nogle konkluderende bemærkninger og anbefalinger (afsnit 4) en liste over anvendte kilder (afsnit 5) bilagene (afsnit 6)

6 Rapport fra nbs06 Informationssikkerhed Side 6 af Domænets begrebssystem 2.1 Faktuelle forhold Nærværende begrebssystem omfatter i alt 100 begreber, der alle er relateret til mindst ét andet begreb med én eller flere dekompositioner (del-helheds relationer), specialiseringer (type-relationer) og associative relationer (fx påvirkning, brug, placering, ændring). Der er formuleret definitioner for alle begreberne. Der er registreret foretrukken term for alle begreber samt et antal synonymer og engelske ækvivalenter Diagrammer Begrebssystemet præsenteres i en række diagrammer med tilhørende oplysninger om definitioner, synonymer mv. Diagrammet i Figur 1, Oversigtdiagram over informationssikkerhed, giver et overblik over begrebssystemets opbygning, idet det viser nogle af de begreber, der danner indgang til de mere detaljerede diagrammer. Hele det samlede begrebssystem er vist i diagrammet (Se bilag 1, afsnit 6.1.2). Dette diagram er aht. læselighed og overskuelighed opdelt i syv deldiagrammer (Se afsnit 6.1.3): Sikkerhedsrisiko, som indeholder begreber, der bl.a. viser sammenhængen mellem trussel, sårbarhed og risiko Risikoanalyse, der indeholder begreber relateret til denne aktivitet Sikringsforanstaltning, som indeholder inddelinger af de sikringsforanstaltninger, der kan iværksættes Organisatoriske sikringsforanstaltninger, som indeholder organisatoriske sikringsforanstaltninger og en del dertil relaterede begreber Tekniske sikringsforanstaltninger, som indeholder tekniske sikringsforanstaltninger Aktører - informationssikkerhed, som indeholder en del begreber vedr. forskellige aktører, som har forbindelse med informationssikkerhed Informationssikkerhed specielle begreber, som indeholder underbegreberne til informationssikkerhed Der således i alt ni diagrammer, som beskriver begrebssystemet. De findes alle tilligemed en læsevejledning til diagrammerne i Bilag 1.

7 Rapport fra nbs06 Informationssikkerhed Side 7 af 150 Figur 1 Oversigt over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på Relationer mellem begreberne Begreberne er forbundet til hinanden med relationer, der har stor betydning for forståelsen af begrebssystemet og i høj grad er med til at definere begreberne. Der findes tre kategorier af relationer. Dekompositioner (del-helheds-relationer; linjer, der begynder med en rombe) er på diagrammerne betegnet med et navn, der hentyder til typen af dekomposition. Den mest anvendte er består af, der typisk angiver funktionelt adskilte dele af en helhed. Specialiseringer (type-relationer; linjer, der begynder med en trekant) har på diagrammerne angivet det træk, der adskiller de aktuelle typer af det pågældende overbegreb (inddelingskriterium). Associative relationer (linjer med pil) har angivet navnet på relationen. Navnet er placeret i den ende, hvorfra relationen skal læses. I mange tilfælde ville det være muligt at oprette andre og yderligere relationer mellem begreber, men af hensyn til overskueligheden af begrebssystemet er kun medtaget de relationer, der er mest relevante, og som er definerende i forhold til arbejdsgruppens domæneafgrænsning. 2.2 Vigtige forhold for forståelse af begrebssystemet Afgrænsning af domænet Én af grænserne for domænet Informationssikkerhed er mod det administrativt-organisatoriske domæne, idet en del af begreberne for sikringsforanstaltninger er af organisatorisk art. Mange af disse deles med det administrativt-organisatoriske domæne og med Klinisk proces (fx patient og pårørende ). En anden afgrænsning er mod begreber som fortrolighed og tavshedspligt mod begreber som patientrettighed, privatliv og værdighed. Man kan sige, at der er en glidende overgang mod det etiske domæne. Begreberne vedr. fysiske sikringsforanstaltninger grænser op mod begreber for den generelle fysiske infrastruktur for informationssystemer, idet det meste af infrastrukturen kan siges at bidrage til målet tilgængelighed. I domæneafgrænsningen har arbejdsgruppen bestræbt sig på at udelukke de begreber fra arbejdet, der i højere grad kan siges at være del af tilgrænsende domæner.

8 Rapport fra nbs06 Informationssikkerhed Side 8 af 150 En undtagelse herfra udgøres dog af nogle få meget generelle begreber som fx information, aktør og hændelse. Disse begreber behandles nærmere af andre arbejdsgrupper, men har relevante relationer til begreber vedr. informationssikkerhed Begrebssystemet For hele begrebssystemet er relationer, definitioner, termer og synonymer gennemgået, diskuteret og principielt fastlagt i nævnte rækkefølge. Det er arbejdsgruppens vurdering, at det er værdifuldt at fastholde alle de identificerede begreber i domænet, selvom deres relationer ikke alle er endeligt fastlagt og de ikke alle er sprogligt defineret. Disse begreber er vist til orientering i bilag Afgørende beslutninger I begyndelsen af begrebsarbejdet spillede nogle overvejelser af pædagogisk karakter ind og medførte fx, at begrebet backup blev omdøbt til backup og restore (fordi backup ikke bør tages uden jævnlig afprøvning af procedurer for restore = genskabelse af information fra backup en). Dette er imidlertid, hvad vejledninger og standarder bør beskæftige sig med, og med denne erkendelse er arbejdsgruppen blevet mere stringent orienteret mod det ontologiske begrebsarbejde. Begrebet backup er således ikke længere blandet sammen med genskabelsesproceduren. Ligesom det ikke er trivielt at afgrænse domænet Informationssikkerhed, har det heller ikke været let at afgrænse gruppens arbejdsområde inden for domænet. Den indstilling om afgrænsning af arbejdsområdet, som gruppen sendte det Nationale Begrebsråd for Sundhedsvæsenet den , gik temmelig naivt ud fra, at det kunne lade sig gøre at bearbejde et overbegreb fuldt ud, inden man tog fat på dets underbegreber. Dette har vist sig at være en i høj grad fejlagtig antagelse, der har måttet vige for erkendelsen af, at man er nødt til at behandle under- og overbegreber i en iterativ proces. Prioriteringen af begreber til behandling bliver dermed langt mindre skarp end ønskeligt. Begrebssystemet var i forsommeren 2005 klar til aflevering mhp. drøftelse i Nationale Begrebsråd for Sundhedsvæsenet, samt fastlæggelse af de dele af begrebssystemet, der skulle sendes i høring. Imidlertid ventedes en ny version af informationssikkerhedsstandarden DS 484 i høring fra Standard, så det blev besluttet at udskyde afleveringen af begrebssystemet til efteråret 2005 for at få mulighed for at koordinere med standardforslaget og indarbejde begreber fra dette. Som følge heraf er der gjort værdifulde tilføjelser, fx begreberne vedr. forebyggende, opklarende og udbedrende sikringsforanstaltning. Vedtagelsen af DS 484:2005 som gældende standard har kun medført meget små ændringer i forhold til høringsforslaget. Imidlertid er der visse af de udarbejdede definitioner, der afviger fra definitionerne i DS 484:2005. Det viser sig, at begreberne i standardens ordforklaring ikke er resultatet af systematisk, terminologisk arbejde hvilket heller ikke er standardens formål. Det betyder ikke, at standarden er fagligt ukorrekt; det betyder heller ikke, at der er uoverensstemmelse mellem indholdet i standardens definitioner og de af arbejdsgruppen udarbejdede. Det betyder blot, at arbejdsgruppens definitioner er formuleret i overensstemmelse med terminologiske principper Begrebet informationssikkerhed Domænets centrale begreb er 'informationssikkerhed'. Oprindeligt i gruppens arbejde indtog det ubestridt den centrale plads, men den oprindelige forståelse af begrebet viste sig at være en sammenblanding af "den sikkerhed, man opnår eller ønsker at opnå" og "de midler, man tager i anvendelse for at opnå informationssikkerhed". Som et resultat af denne overvejelse udskilte vi 'informationssikkerhed' og 'sikringsforanstaltning' som de to mest centrale begreber. De tre dele af begrebet informationssikkerhed ('tilgængelighed', 'integritet' og 'fortrolighed') er således de mål, som sikringsforanstaltninger i varierende grad bidrager til at opnå. Den videre analyse af disse tre hovedmål beskrives i diagrammet Informationssikkerhed specielle begreber.

9 Rapport fra nbs06 Informationssikkerhed Side 9 af 150 Ved analysen af begrebet informationssikkerhed viste det sig, at det kan opfattes som en balance mellem sikringsforanstaltning og sikkerhedsrisiko, som det vises i diagrammet Oversigt over informationssikkerhed. Hermed genplaceres begrebet informationssikkerhed på tilfredsstillende vis som det mest centrale begreb Begrebet sikringsforanstaltning Det er blevet diskuteret i arbejdsgruppen, om der burde være en parallelitet i opbygningen af underbegreber til informationssikkerhed og underbegreber til sikringsforanstaltning. Der er dog flere grunde til, at denne tanke er vanskelig at gennemføre. For det første kan den samme sikringsforanstaltning meget vel bidrage til flere af målene (delene af informationssikkerhed: tilgængelighed, integritet, fortrolighed), så det er ikke meningsfuldt at afspejle opdelingen i tekniske og organisatoriske samt fysiske og logiske sikringsforanstaltninger i inddelingen af de begreber, der betegner målene. Fx kan den tekniske foranstaltning 'adgangsbegrænsning' både bidrage til fortrolighed og tilgængelighed (ved at mindske risikoen for informationslækage og risikoen for ødelæggelse). Det er yderligere således, at et enkelt mål kan kræve anvendelsen af foranstaltninger af både teknisk og organisatorisk karakter for at blive opnået i tilstrækkeligt omfang. Fx kan et højt fortrolighedsniveau kræve anvendelsen af både 'rumsikring', 'sikkerhedssoftware' og 'differentieret adgangsrettighed', der er to tekniske og en organisatorisk foranstaltning. Begrebet sikringsforanstaltning kan opdeles efter flere forskellige kriterier; men det vil sjældent være fordelagtigt fx at satse udelukkende på opklarende sikringsforanstaltninger, så ved planlægningen af sikringsforanstaltninger er det af værdi at anskue dem opdelt efter formål. Det har tilsvarende betydning for sikringsforanstaltningernes iværksættelse at vide hvilke midler, der skal anvendes, så opdelingen i organisatoriske og tekniske sikringsforanstaltninger er væsentlig, når de skal implementeres. Ingen af de to inddelingskriterier formål eller middel er perfekte ud fra en teoretisk klassifikationsbetragtning, for nogle sikringsforanstaltninger kan ikke placeres entydigt i én af disse kategorier. Det gælder bl.a. for en række sikringsforanstaltninger som sikkerhedsorganisation, sikkerhedspolitik og autentificering, at de ud fra en formålsbetragtning er både forebyggende og opklarende (nogle tillige udbedrende). Inddelingen efter middel er heller ikke problemfri, idet fx adgangsbegrænsning som vist i diagrammet Teknisk sikringsforanstaltning kan være både en logisk og en fysisk foranstaltning. Der er således ikke tale om, at noget inddelingskriterium er rigtigt i forskellige situationer er forskellige inddelingskriterier mere eller mindre hensigtsmæssige og repræsenterer forskellige valg. Gruppen af organisatoriske sikringsforanstaltninger rummer en meget stor og vanskeligt afgrænselig samling af ansvarsområder, regler, rutiner og metoder samt deres dokumentation. De begreber, der er anført i begrebssystemet, er kun udsnit af de mulige, og arbejdsgruppen har søgt at udvælge dem på basis af relevans. De tekniske sikringsforanstaltninger er konkrete og leveres i stor udstrækning af specialiserede itleverandører inden for rammerne af en nogenlunde velafgrænset del af it-branchen. Det er arbejdsgruppens opfattelse, at der uformelt i branchens regi har fundet en ret omfattende begrebsafklaring sted nogenlunde i takt med den tekniske udvikling. Gruppen har derfor besluttet, at denne del af domænet har lavest prioritet i bearbejdningen af begrebssystemet Anvendelse af generelle begreber og relationstyper Dekompositionen består af udtrykker en del-helhedsrelation, hvor delene typisk er funktionelt adskilte fra hinanden, mens dekompositionen omfatter udtrykker en del-helhedsrelation, hvor delene er elementer i en mængde. På diagrammerne er specialiseringen kan være markeret med aspekt (=inddelingskriterium). I begrebssystemet er de af NBS standardiserede associative relationer generelt anvendt. Nogle har dog ikke kunnet beskrives tilstrækkeligt inden for disse rammer; det drejer sig om relationerne: - forbedrer ( sikringsforanstaltning forbedrer informationssikkerhed ) - forringer ( sikkerhedsrisiko forringer informationssikkerhed )

10 Rapport fra nbs06 Informationssikkerhed Side 10 af begrunder ( sikkerhedsrisiko begrunder sikringsforanstaltning ) - behandler ( informationssystem behandler information ) - ophæver ( samtykke ophæver tavshedspligt, se 6.3.2) - har krav på ( patient har krav på informationssikkerhed ) - tillader ( samtykke tillader videregivelse se 6.3.2) - registrerer ( logning registrerer hændelse ) - specificerer ( trusselsbillede specificerer trusselsniveau ) Relationstyper til informationssikkerhed Man kan diskutere, om begreberne tilgængelighed, integritet og fortrolighed er relateret til informationssikkerhed med generiske relationer ( typer af informationssikkerhed ) eller med partitive relationer ( dele af informationssikkerhed ). For at nå frem til en afgørelse kan man spørge, om de tre underbegreber kan eksistere sammen i én given instans af overbegrebet. Alle tre underbegreber anskues ofte som varierende, om end ikke nødvendigvis kvantitative, størrelser. Man kan således godt forestille sig informationssikkerhed, hvor den samlede værdi af et eller flere af de to underbegreber går mod nul. Derimod vil de fleste nok mene, at en udtømmende beskrivelse af en given informationssikkerhed kræver redegørelse for alle tre underbegreber. Eller sagt på en anden måde; når man vælger en informationssikkerhed, vælger man ikke enten det ene eller andet underbegreb, men en samlet pakke, hvori ét eller flere af underbegreberne kan stå for noget meget ringe eller ikke-eksisterende, men selve begrebet er ikke des mindre til stede. Svaret på spørgsmålet er altså bekræftende, og konklusionen bliver, at der er tale om en partitiv (del-helheds-) relation. Til informationssikkerhed har begrebssystemet yderligere tre relationer, nemlig de associative relationer har krav på (fra patient ), forringer (fra sikkerhedsrisiko ) og forbedrer (fra sikringsforanstaltning ). Det er den første af disse (sv.t. udsagnet patient har krav på informationssikkerhed ), der gør domænet Informationssikkerhed relevant for sundhedsvæsenet. Denne relation er kun vist i diagrammet (6.1.2). 2.3 Særlige forhold og problemer i de enkelte faser Fase 2: Udvælgelse og gruppering af begreber Arbejdsgruppen indledte arbejdet med en brainstorm, hvor en stor del af de senere bearbejdede begreber blev identificeret. Disse begreber blev derefter grupperet (se figur 2) og fordelt til gruppens medlemmer til en nærmere beskrivelse, der dannede baggrund for analyse af begreberne og opstilling af foreløbigt begrebssystemet.

11 Rapport fra nbs06 Informationssikkerhed Side 11 af 150 Figur 2 patient Rolle psykisk integritet Bruger Elisabeth Patient Fortrolighed aktuelt behandlingsforløb Samtykke Værdighed tavshedspligt Videregivelse Per elektromagnetisk sikkerhed aflåsning akut-adgang Lars Adgang Fysisk sikkerhed Nogle centrale termer administrativ brandsikring nødstrøm backup Informationssikkerhed sikkerhedsadministration IT-sikkerhed Safety Datasikkerhed Security sikkerhed Kommunikationssikkerhed Validitet/ korrekthed Tilgængelighed Datapræsentation Edbsikkerhed Data lovgivning Information teknisk sikkerhed Hans Trine differentieret adgangsrettighed organisatorisk sikkerhed sundhedsfaglig teknikeradgang akkreditering administrativ certificering sikkerhed/regler nødprocedure Logisk sikkerhed Redaktør Søren Krypteringsnøgle log-on log-off Krypteringsalgoritme Logning Dataintegritet Kryptering password Autenticitet firewall hacker Sporbarhed virus orm Under arbejdet med at bearbejde de identificerede begreber oplevede arbejdsgruppen vanskelighed med at rubricere begreber vedr. teknisk- og logisk sikkerhed overfor begreberne fortrolighed, integritet og tilgængelighed. Under diskussionen om disse begrebers relationer til informationssikkerhed gik det op for gruppen, at vanskelighederne med sammenblanding af opnået sikkerhed og anvendt middel til at opnå sikkerhed kunne løses med en udskillelse af begrebet sikringsforanstaltning Fase 1: Udvælgelse af referencemateriale For det danske samfund i almindelighed og for sundhedsområdet i særdeleshed findes der en række retskilder med regler for dele af domænet Informationssikkerhed. Heri optræder nogle termer, som i visse tilfælde er defineret, i andre ikke. Disse retskilder er primært Persondataloven, Patientretsstillingsloven og de bekendtgørelser, cirkulærer og vejledninger, der knytter sig til dertil (reff. 1-5, 10). Disse kilder er naturligvis grundlæggende, men temmelig overordnede, hvad angår rent begrebsligt indhold. Domænets andre autoritative kilder er standarder, danske (fra Standard, DS), europæiske (fra Comitée Européene de Normalisation, CEN) og globale (fra International Standards Organisation, ISO), og herfra er hentet hovedindholdet til nogle definitioner. Disse standarder er dog på ingen måde udtømmende. Det kan fx nævnes, at ingen af hovedstandarderne, hverken DS 484 (ref. 6) eller ISO (ref. 7), definerer eller beskriver begrebet bruger. En del af standardernes definitioner er desuden vanskelige at anvende i begrebsarbejdet, fordi de bærer præg af det bestemte formål, som den enkelte standard søger at opfylde. Som eksempel kan nævnes definitionen af password fra en ordbog over fagudtryk (ref. 12):

12 Rapport fra nbs06 Informationssikkerhed Side 12 af 150 For EQUIPMENT under the control of a PROGRAMMABLE ELECTRONIC SUBSYSTEM (PESS), sequence of keystrokes that permits OPERATOR access for NORMAL USE or to reset INTERLOCKS and, with a different sequence of keystrokes, permits access for adjustment and maintenance. ( Standard 2004). Derudover har arbejdsgruppen kunnet anvende et personligt meddelt udkast til en taksonomi for sikkerhed (ref. 13) som støtte for en del relationer mellem begreberne i Informationssikkerhed specielle begreber Fase 3: Udarbejdelse af skitse til begrebssystemer Ud fra den oprindelige gruppering af begreberne blev den første skitse til begrebssystem opstillet; og den har dernæst dannet udgangspunkt for den første af mange iterative diskussioner, der har ført frem til begrebssystemet i sin nuværende form. Arbejdsgruppen har anvendt temmelig lang tid til afklarende diskussion af begreberne 'integritet', 'informationskvalitet' og 'sporbarhed' - både deres placering, relationer og definitioner. Arbejdet har på dette punkt ført til en velfunderet enighed om disse begreber og deres underbegreber.

13 Rapport fra nbs06 Informationssikkerhed Side 13 af Arbejdsform 3.1 Møder Arbejdsgruppen har i gennemsnit holdt et arbejdsmøde hver anden måned. Det har overvejende drejet sig om heldagsmøder, og to møder har omfattet to konsekutive mødedage. Mødedeltagelsen har været varierende; gennemsnitligt 68% med en spændvidde på %. For hele arbejdsperioden har der foreligget en samlet arbejdsplan, som er blevet opdateret i takt med ændringer i planlægningen. Der har således til hvert arbejdsmøde på forhånd været angivet emner, der skulle behandles og i muligt omfang stipulerede, operationelle mål for mødet. For hvert møde er der ført et tekstbaseret procesorienteret beslutningsreferat for beslutninger vedr. arbejdets planlægning, forløb, fordeling mv. Dokumentationen af selve begrebsarbejdet er sket i elektroniske værktøjer med stigende kompleksitet. Initialt i Word og PowerPoint, senere i QualiWare, da denne applikation blev tilgængelig. Arbejdsformen har været præget af, at meget af arbejdet foregik på møderne og af, at den essentielle arbejdsproces er faglig diskussion mellem domæneeksperter med kraftig støtte af terminologisk fagkompetence og en vis støtte af skriftlige og digitale kilder. Det har derfor været hovedreglen, at diskussionsresultaterne er ført direkte ind i QualiWare-filer under mødernes forløb, hvilket har sikret en høj grad af enighed om dokumentationens indhold. Selve diskussionerne har været præget af en konstruktiv vilje til at nå egentlig konsensus vha. argumenternes vægt. Det er gruppens erfaring, at en stor del af arbejdet i de første par faser kunne fordeles til arbejdsgruppens medlemmer og udføres mellem møderne. Efterhånden som arbejdet skred frem, blev det i tiltagende grad afhængigt af diskussionen på møderne, hvor det meste af opstilling og justering af begrebssystemet samt formulering af definitionerne er foregået gennem adskillige iterationer. Endelig har der i den sidste fase været et betydeligt arbejde for formanden mellem møderne med justeringer af begreber, relationer og sproglig revision af definitionsformuleringerne, første kvalitetssikring af begrebssystemet, indarbejdelse af review-kommentarer fra teknisk-, faglig- og terminologisk side samt udarbejdelsen af denne rapport. 3.2 Kvalitetssikring Ud over formandens egen kvalitetssikring mht. overensstemmelse mellem det på arbejdsmøderne besluttede og dokumentationen af begreber, termer og relationer, har begrebssystemet og et rapportudkast været i teknisk review hos DK-CERT og har derefter gennemgået en høringsproces med offentliggørelse på indkaldelse af høringssvar fra en række tekniske og politiske parter samt et høringsseminar for en særligt indbudt kreds af interessenter. Det herved indkomne materiale er blevet indarbejdet i begrebssystemet i relevant omfang. Herefter er begrebssystemet og rapporten sendt til endeligt terminologisk review hos DANTERMcentret for til slut at blive klargjort til publikation af Begrebssekretariatet. 3.3 Særlige forhold og problemer vedrørende arbejdsmetode Overordnet set har det været en fordel at kunne arbejde direkte i et værktøj, der tegner diagrammer over begrebssystemet og som samtidig holder rede på de informationer, der knytter sig til hvert enkelt element i begrebssystemet. På den anden side har det været en klar forudsætning for denne arbejdsform, at et medlem af gruppen (i dette tilfælde formanden) hurtigt har optrænet en fortrolighed med selve applikationen. Dette har i sin tur forudsat en rimeligt stor allround rutine i at arbejde med forskellige applikationer, fordi QualiWare ikke er en særlig brugervenlig applikation. Herunder savnes der i høj grad tastaturgenveje, fx i form af en langt højere brug af de fra Microsofts programmer kendte genvejstaster, men i høj grad også mulighed for at navigere rundt i applikationsspecifikke dialogbokse ved hjælp af tastaturet.

14 Rapport fra nbs06 Informationssikkerhed Side 14 af 150 Der er to forhold, der hæmmer udtømmende dokumentation af arbejdet. Det ene er, at størstedelen af arbejdet foregår i en diskussionsform, hvor der hurtigt efter hinanden flyver så mange argumenter og eksempler gennem luften, at det er vanskeligt at fastholde dem, hvis ikke diskussionen skal hæmmes meget af dokumentationsprocessen. Hvis man forestillede sig denne dokumentation overvejende i tekstform (fx som transskription af båndoptagelser), ville dens omfang gøre den vanskelig at benytte bagefter. Det andet forhold er, at det af organisatoriske årsager har været nødvendigt i én person at samle opgaverne som referent, mødeleder og diskussionsdeltager. Dette medfører, at både mødeledelse (og dermed fremdrift på møderne) og mødedokumentationen kunne have været bedre.

15 Rapport fra nbs06 Informationssikkerhed Side 15 af Konklusion på arbejdet Den ontologiske tilgang til begrebsarbejde har allerede tidligt vist sig overordentlig frugtbar og fremmende for kvaliteten i arbejdet, og den har samtidig givet et godt overblik over mulighederne for afgrænsning og prioritering af arbejdet. Generelt har arbejdet krævet større tidsforbrug end først antaget. I den største del af arbejdsperioden kunne man med fordel satse stærkere på hyppige møder med mindre forventning om arbejde mellem møderne. Formandens arbejde i den sidste halvdel af arbejdet har vist sig at være underestimeret. Generelt har det ikke været muligt at overholde den oprindelige målsætning om at gennemføre arbejdet på 6 kalendermåneder, hovedsagelig pga. problemer med afgrænsning, ambitionsniveau og fordi det nødvendige antal arbejdstimer (især mødetimer) har været underestimeret ved planlægningens begyndelse. Denne arbejdsgruppe har været sammensat af både administrativt, juridisk, klinisk og datalogisk orienterede domæneeksperter, og det har givet gruppen en værdifuld alsidighed, som gruppemedlemmerne har udnyttet gennem et konstruktivt og konsensussøgende arbejde. inologisk støtte til arbejdet har været noget underestimeret i begyndelsen af arbejdet, men med fast deltagelse af terminolog i den sidste halvdel af arbejdet er dette forhold rettet op. En noget hurtigere gennemførelse af arbejdet ville have været mulig med følgende tiltag: - en fast mødereferent, der ikke deltager i den faglige diskussion - mødefrekvens på et til to møder om måneden og dertil hørende forventningsjustering i forbindelse med udpegningen af medlemmer til arbejdsgruppen - deltagelse af terminolog gennem hele arbejdet De af begrebssekretariatet udgivne standardrelationer kunne ikke rumme ni vigtige associative relationer. Disse relationer er altså angivet i begrebssystemet ud over, hvad standardrelationerne stiller til rådighed. Ved en fremtidig revision af standardrelationerne bør disse overvejes. Det er tydeligt, at domænet informationssikkerhed ikke er fuldt begrebsmæssigt gennemarbejdet på det detaljeringsniveau, som arbejdsgruppen har identificeret begreber på. Man kan meget vel forestille sig, at der vil opstå et behov for en bredere registrering af synonymer, efterhånden som begrebssystemet tages i brug. I den del af begrebssystemet, som hører under teknisk foranstaltning, er behovet for et velgennemarbejdet begrebssystem måske ikke så stort, fordi det vedrører overvejende konkrete sikringsforanstaltninger, hvor teknikere i branchen i det store og hele synes at være enige om termer og definitioner. Disse er dog ikke gennemarbejdet og beskrevet ud fra en faglig terminologisk metode. Derimod er begreberne under organisatorisk foranstaltning mindre afgrænsede og enigheden om begrebernes indhold mellem organisationer er mindre, hvilket taler for et stort behov for begrebsafklaring. Samtidig er denne del af begreberne noget mere stabile end mange af de it-tekniske begreber, så et grundigt begrebsarbejde har generelt gode mulighed for at bevare sin aktualitet. Derfor peger arbejdsgruppen på dette delbegrebssystem som første kandidat til yderligere bearbejdning. I bilag 3 findes et struktureret materiale, som er egnet som udgangspunkt for det videre arbejde. Det anbefales, at det Nationale Begrebsråd for Sundhedsvæsenet vurderer i hvilket omfang og med hvilken tidshorisont domænet informationssikkerhed skal bearbejdes yderligere.

16 Rapport fra nbs06 Informationssikkerhed Side 16 af Kildeliste 1. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven) 2. Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 3. Datatilsynets vejledning nr. 37 af 2. april 2001 til Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 4. Lov nr. 482 af 1. juli 1998 om patienters retsstilling (Patientretsstillingsloven) 5. Sundhedsstyrelsens vejledning nr. 161 af 16. september 1998 om information og samtykke og om videregivelse af helbredsoplysninger m.v. 6. DS og DS 484-2, Norm for edb-sikkerhed, Standard, 21. januar ISO/IEC 17799, Informationsteknologi Regelsæt for styring af informationssikkerhed, Standard ENV Security for healthcare communication. Comitée Européenne de Normalisation OECD Guidelines for the Security of Information Systems and Networks. OECD IT-sikkerhedsvejledning for sygehuse. Sundhedsstyrelsen Digital Signatur og PKI i sundhedsvæsenet. Sundhedsstyrelsen DS/IEC/TR Elektrisk udstyr til medicinsk anvendelse Ordbog over fagudtryk. standard Hartmut Pohl. Vorslag für eine Taxonomie und Modelbildung in der Begreiffswelt safety und security am Beispiel ausgewählter internationaler Normen. Personlig korrespondance DS 484:2005 Standard for informationssikkerhed, Høringsforslag. Standard 2005

17 Rapport fra nbs06 Informationssikkerhed Side 17 af Bilag 6.1 Bilag 1: Diagrammer Læsevejledning til diagrammerne Diagrammerne er udarbejdet i en forenklet udgave af UML (Unified Modeling Language) med applikationen QualiWare Lifecycle Manager. Begreber er anført i rektangler, og bortset fra de mest overordnede begreber er størrelsen på rektanglerne tilpasset af tegnetekniske årsager. Relationer angives generelt som streger, der forbinder rektangler. Partitive (del-helheds-) relationer er lige, evt. knækkede streger, der begynder ved overbegrebet med en rombe. Her er typen af partitiv relation også angivet. Generiske (type-) relationer fremstilles med lige streger, der buer ved retningsskift, og som begynder ved overbegrebet med en trekant. Relationer med samme aspekt (=inddelingskriterium) deler samme trekant, og her vises også aspektet. Associative (semantiske) relationer vises med lige streger, der knækker ved retningsskift. Relationens indhold vises nærmest det begreb, relationen læses fra, og retningen er tillige vist med en pil. Hverken partitive eller generiske relationer behøver at være obligatoriske eller udtømmende. Fx ses i Organisatorisk foranstaltning, at et netværk kan indgå i et informationssystem, og et informationssystem kan indgå i et netværk, hvorfor de ikke begge kan være obligatoriske, og tilsvarende findes der flere typer af logisk foranstaltning end de anførte autentificering og logning. En række begreber og relationer er utilstrækkeligt bearbejdet. Disse vises i Bilag 3 alene til orientering, men beskrives ikke nærmere og kan på et senere tidspunkt tages op til videre bearbejdning.

18 Rapport fra nbs06 Informationssikkerhed Side 18 af Totaldiagram hele begrebssystemet I nedenstående diagram vises alle de identificerede begreber inden for domænet Informationssikkerhed, som er relateret til andre begreber. Diagrammet skal hovedsagelig tjene som orientering i forbindelse med brugen af deldiagrammerne. Diagram viser denne opdeling. Totaldiagram - informationssikkerhed nbs informationssikkerhed består af tilgængelighed integritet fortrolighed består af består af trusselsbillede påvirkning effektområde specificerer består af præsentation svartid oppetid komplethed uændrethed sporbarhed validitet specificerer trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af frembringer består af teknisk tillader kognitiv informationskvalitet uafviselighed præsentation præsentation kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko informationsaktiv specificerer konsekvensanalyse indvirker på kritikalitet formål middel grad har krav på patient kritisk aktiv sikringsniveau trusselsniveau forebyggende sikringsforanstaltning formål pårørende består af anvender specificerer opklarende sikringsforanstaltning basal sikringsforanstaltning risiko sundhedsproducent risikobillede konsekvensvurdering udbedrende sikringsforanstaltning skærpet sikringsforanstaltning organisatorisk sikringsforanstaltning teknisk sikringsforanstaltning består af aktør anvender består af risikovurdering formål organisatorisk niveau formål middel sandsynlighed indvirker på konsekvens aktørrolle aktivitet sundhedsaktørrolle sundhedsaktør sikkerhedsansvarlig risikostyring anvender frembringer risikoanalyse udføres af består af sikkerhedsorganisation lokal national forskrift forskrift beskrivelsesniveau fysisk sikringsforanstaltning logisk sikringsforanstaltning middel kontrolspor kritisk hændelse sikkerhedsbrud forårsager trussel frembringer sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse autentificering logning frembringer oprindelse dataansvarlig systemansvarlig driftsansvarlig har forbindelse med har forbindelse adgangsbegrænsning netværk information revision udføres af brugeradministration instruks sikkerhedspolitik udføres vha. registrerer væsentlighed kritikalitet hændelse frembringer sårbarhed personrelateret systemmæssig trussel uden trussel trussel for kontrol ejer af informationsaktiv med består af resulterer i funktion intentionalitet organisatorisk genstand består af informationssystem behandler adgangsrettighed autoriseringsstype hændelig trussel forsætlig trussel ekstern trussel intern trussel dataejer anvender systemejer har forbindelse med autoriseret bruger har forbindelse med har forbindelse med differentieret adgangsrettighed password brugernavn udføres vha. log-on udføres vha. log-off formål anvender hacker bruger legitimitet middel uautoriseret bruger hensigt adgangsbegrænsning anvender ondsindet kode

19 Rapport fra nbs06 Informationssikkerhed Side 19 af Opdeling i deldiagrammer I dette diagram, som omfatter hele begrebssystemet, vises opdelingen i deldiagrammer. Oversigtsdiagram - informationssikkerhed trusselsbillede specificerer består af specificerer Risikoanalyse trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af tilgængelighed består af præsentation svartid består af teknisk tillader kognitiv præsentation præsentation oppetid informationssikkerhed består af integritet består af komplethed informationskvalitet fortrolighed Specielle begreber - effektområde påvirkning informations uændrethed sporbarhed validitet sikkerhed frembringer uafviselighed kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko har krav på patient pårørende sundhedsproducent informationsaktiv kritikalitet kritisk aktiv specificerer konsekvensanalyse sikringsniveau trusselsniveau består af anvender specificerer risikobillede konsekvensvurdering forebyggende sikringsforanstaltning opklarende sikringsforanstaltning udbedrende sikringsforanstaltning formål middel indvirker på grad basal sikringsforanstaltning skærpet sikringsforanstaltning Sikringsfor anstaltning formål risiko aktør aktørrolle organisatorisk sikringsforanstaltning består af formål organisatorisk anvender risikovurdering niveau aktivitet risikostyring sundhedsaktørrolle anvender lokal national frembringer forskrift forskrift risikoanalyse sundhedsaktør udføres af består af beskrivelsesniveau sikkerhedsansvarlig sikkerhedsorganisation sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse dataansvarlig Organisatorisk instruks sikkerhedspolitik har forbindelse adgangsbegrænsning revision systemansvarlig med udføres af har driftsansvarlig forbindelse netværk sikringsforanstaltning information brugeradministration med ejer af informationsaktiv består af resulterer i består af genstand adgangsrettighed autoriseringsstype Aktører informationssystem - behandler har forbindelse med dataejer systemejer har forbindelse med differentieret autoriseret adgangsrettighed anvender bruger har forbindelse med sikkerhed bruger legitimitet informations uautoriseret bruger hensigt teknisk sikringsforanstaltning formål middel fysisk logisk kontrolspor sikringsforanstaltning sikringsforanstaltning middel frembringer autentificering logning udføres registrerer vha. væsentlighed kritikalitet hændelse Teknisk sikringsforan password udføres vha. log-on udføres vha. brugernavn staltning middel adgangsbegrænsning anvender funktion log-off sandsynlighed Sikkerheds kritisk hændelse risiko består af forårsager trussel sikkerhedsbrud frembringer oprindelse frembringer sårbarhed personrelateret systemmæssig trussel trussel intentionalitet organisatorisk hændelig forsætlig ekstern trussel intern trussel trussel trussel formål anvender hacker ondsindet kode indvirker på konsekvens trussel uden for kontrol

20 Rapport fra nbs06 Informationssikkerhed Side 20 af Oversigtsdiagram over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på