Non-Repudiation of EMRs: The Technology & Standards Aspect (Speaker: Urachada Ketprom)
•
2 likes•612 views
Presented by Urachada Ketprom at TMI-NCMedInfo 2015 on November 27, 2015, reproduced with permission from the speaker.
Recommended
Recommended
More Related Content
More from Nawanan Theera-Ampornpunt
More from Nawanan Theera-Ampornpunt (20)
Non-Repudiation of EMRs: The Technology & Standards Aspect (Speaker: Urachada Ketprom)
- 2. ความมั่นคงปลอดภัยในการทาธุรกรรมทางอิเล็กทรอนิกส์ LAN LAN LAN LAN WAN WAN Internet 2 How to secure e-transaction ?
- 3. ปัจจัย 4 ประการที่จะสร้างความเชื่อมั่นในการทา ธุรกรรมทางอิเล็กทรอนิกส์ การรักษาความลับ (Confidentiality)1. ความครบถ้วนของข้อมูล (Integrity)2. การระบุตัวบุคคล (Authentication)3. การห้ามปฏิเสธความรับผิด (Non-repudiation)4. เพื่อยืนยันว่าข้อมูลที่ส่งมีเพียงผู้ส่งและผู้รับเท่านั้นที่ล่วงรู้ เพื่อยืนยันว่าข้อมูลไม่ถูกเปลี่ยนแปลงระหว่างการส่งข้อมูล เพื่อยืนยันว่าบุคคลที่ติดต่อด้วยเป็นบุคคลที่กล่าวอ้างถึงจริง ผู้ส่งไม่สามารถปฏิเสธได้ว่าไม่ได้เป็นผู้ทาธุรกรรมนั้น 3
- 5. ใบรับรองอิเล็กทรอนิกส์กับการระบุตัวตนวิธีอื่นๆ 5 • ออกโดย CA• ออกโดยกระทรวงการต่างประเทศ • มีวันเริ่มต้นและสิ้นสุดการใช้งาน• มีวันเริ่มต้นและสิ้นสุดการใช้งาน • ประกอบด้วยข้อมูลของเจ้าของ ใบรับรอง • ประกอบด้วยข้อมูลของเจ้าของหนังสือ เดินทาง • ใช้ในการยืนยันตัวบุคคล + การรักษาความลับของข้อมูล • ใช้ในการยืนยันตัวบุคคล ใบรับรอง อิเล็กทรอนิกส์ หนังสือเดินทาง
- 7. ตัวอย่างการใช้เทคโนโลยี PKI ในปัจจุบัน 7 • Secure e-Mail • Secure e-Document • Smartcard Logon • Code Signing • SSL (Secure Socket Layer) • IPSec • SSL VPN
- 8. ตัวอย่างการใช้เทคโนโลยี PKI ในปัจจุบัน 8 ระบบ National Single Window e-Logistics
- 9. ตัวอย่างการใช้เทคโนโลยี PKI ในปัจจุบัน 9 ระบบ e-Payment Service (Security) 9 PCC SITE EFT Payment Gateway Security Server S/S S/S S/S S/S BT S/S Enterprise A Enterprise B CA Source: Thai Digital ID Co,Ltd. Internet
- 10. ตัวอย่างการใช้เทคโนโลยี PKI ในปัจจุบัน 10 ระบบ e-Payment Service (Workflow) 10 E-Payment Gateway & EFT Clearing System 1. Payment Entry 5. Debit Entry 7. Debit Advice 8. Credit Entry Security System Security System Security System PCC System Digital Signature CA Directory 12. Credit Advice 10. Credit Advice Digital Signature 3. Acct. Inq. 4. Acct. Reply Corp A Corp B Debit Bank Credit Bank Source: Thai Digital ID Co,Ltd. Internet
- 12. มาตรฐานที่เกี่ยวข้อง 12 มาตรฐานเกี่ยวกับใบรับรองอิเล็กทรอนิกส์: X.509, RFC 5280 มาตรฐานเกี่ยวกับรูปแบบของข้อมูลที่ใช้ในกระบวนการระบบรหัส: PKCS มาตรฐานเกี่ยวกับอัลกอริทึม: ระบบรหัสแบบสมมาตร, ระบบรหัสแบบอสมมาตร, Hashing Function มาตรฐานเกี่ยวกับอุปกรณ์ที่ใช้บันทึกกุญแจส่วนตัวที่มีความมั่นคงปลอดภัยสูง: FIPS 140 มาตรฐานเกี่ยวกับการจัดทาแนวนโยบายและแนวปฎิบัติของ CA: RFC 3647 มาตรฐานเกี่ยวกับการบริหารจัดการเพื่อให้เกิดความมั่นคงปลอดภัย: ISO/IEC 27001:2005 มาตรฐานเกี่ยวกับการตรวจประเมิน CA: Trust Services 2.0
- 13. กลไกการสร้างความน่าเชื่อถือของCA 13 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 • มาตรา 28 การพิจารณาความเชื่อถือได้ของ CA • สถานภาพทางการเงิน บุคลากร สินทรัพย์ที่มี • คุณภาพของ Hardware, Software • กระบวนการออกใบรับรอง การขอ การเก็บรักษาข้อมูลการให้บริการ • การจัดให้มีข้อมูลข่าวสารเกี่ยวกับเจ้าของลายมือชื่อที่ระบุในใบรับรอง • ความสม่าเสมอและขอบเขตในการตรวจสอบโดย External Auditor • องค์กรที่ให้การรับรอง • มาตรา 29 แนวนโยบาย(CP)/แนวปฏิบัติ(CPS) • (ร่าง) กฎหมายว่าด้วยการกากับดูแล CA (อยู่ระหว่างการพิจารณาของสานักงานคณะกรรมการกฤษฎีกา) • ประกาศคณะกรรมการฯ เรื่อง แนวนโยบายและแนวปฏิบัติของผู้ให้บริการออกใบรับรอง การกากับดูแลจากภาครัฐ • ผ่านการรวมกลุ่มผู้ประกอบการผ่านสมาคม ไทยแลนด์ พีเคไอ การกากับดูแลตนเอง
- 14. มาตรฐานHealth Informatics • ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. • ISO 27799:2008 specifies • a set of detailed controls for managing health information security • health information security best practice guidelines • a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information • ISO 27799:2008 applies to health information in all its aspects; • whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), • whatever means are used to store it (printing or writing on paper or electronic storage) and • whatever means are used to transmit it (by hand, via fax, over computer networks or by post) The information must always be appropriately protected. 14 http:// http://www.iso.org
- 15. Definition of personal health information in ISO 27799 • personal health information • information about an identifiable person which relates to the physical or mental health of the individual, or to provision of health services to the individual, and which may include:a) information about the registration of the individual for the provision of health services; • b) information about payments or eligibility for healthcare with respect to the individual; • c) a number, symbol or particular assigned to an individual to uniquely identify the individual for health purposes; • d) any information about the individual collected in the course of the provision of health services to the individual; • e) information derived from the testing or examination of a body part or bodily substance; • f) identification of a person (e.g. a health professional) as provider of healthcare to the individual. • Note 1 to entry: Personal health information does not include information that, either by itself or when combined with other information available to the holder, is anonymized, i.e. the identity of the individual who is the subject of the information cannot be ascertained from the information. 15
- 16. 16
- 17. 1995 1998 BS 7799 Part 1 BS 7799 Part 2 Swedish standards SS 62 77 99 Parts 1 and 21999 Updated version of BS 7799 Parts 1 and 2 December 2000 ISO/IEC 17799:2000 2001 Review of BS 7799-2 September 2002 Updated version of BS 7799-2 (revised and corrected) June 2005 ISO/IEC 17799:2005 (Change Name to ISO/IEC 27002:2005) ISO/IEC 27001:2005 (Revised BS 7799-2) October 2005 1992 - 1993BSI &Industry working group: Developed « Code of Practice » Historyof ISMSStandard September 2013 ISO/IEC 27001:2013
- 18. ISO27002 ● ISO/IEC 27002:2005 Code of Practices ○ Provide suggested controls with implementation guidelines – how to implement ○ Not a certifiable or auditable standard ○ The controls in ISO27002 are contained in Annex A of ISO 27001
- 19. พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ (บังคับใช้ตั้งแต่วันที่ ๑๐ มกราคม ๒๕๕๐)
- 20. มาตรา ๓ การดาเนินการใดๆ เกี่ยวกับเอกสารในรูปของ ข้อมูลอิเล็กทรอนิกส์ มาตรา ๕ การจัดให้มีแนวนโยบาย และแนวปฏิบัติในการ รักษาความมั่นคง ปลอดภัยด้านสารสนเทศ (Security Policy) มาตรา ๖ การจัดทาแนวนโยบาย คุ้มครองข้อมูลส่วนบุคคล (privacy policy) ประกาศ คธอ. เรื่อง แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ พ.ศ. ๒๕๕๓ ประกาศ คธอ. เรื่อง แนวนโยบายและแนวปฏิบัติ ในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ มาตรา ๗ แนวนโยบายและแนว ปฏิบัติตามมาตรา ๕ และ ๖ ต้องได้รับความ เห็นชอบจากคณะ กรรมการฯ มาตรา ๘ คณะกรรมการฯ จัดทา แนวนโยบายและแนวปฏิบัติ ให้เป็นตัวอย่างกับ หน่วยงานภาครัฐ ม. ๓๕ แห่ง พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ พ.ร.ฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ หน่วยงานของ รัฐ ตาม ม. ๔ พ.ร.บ. ธุรกรรมฯ
- 23. ประกาศ คธอ. เรื่อง แนวนโยบาย และ แนวปฏิบัติ ในการ คุ้มครองข้อมูล ส่วนบุคคล ของหน่วยงาน ของรัฐ พ.ศ. 2553 นโยบาย (Policy) ข้อปฏิบัติ (Practice) สอดคล้องกันและ ต้องคานึงถึงหลักเกณฑ์ 8 ประการ ดังนี้ 1. การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจากัด (Collection Limitation Principle) 2. คุณภาพของข้อมูลส่วนบุคคล (Data Quality Principle) 3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification Principle) 4. ข้อจากัดในการนาข้อมูลส่วนบุคคลไปใช้ (Use Limitation Principle) 5. การรักษาความมั่นคงปลอดภัย (Security Safeguards Principle) 6. การเปิดเผยเกี่ยวกับการดาเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วน บุคคล (Openness Principle) 7. การมีส่วนร่วมของเจ้าของข้อมูล (Individual Participation Principle) 8. ความรับผิดชอบของบุคคลซึ่งทาหน้าที่ควบคุมข้อมูล (Accountability Principle) สอดคล้องกับ OECDPrivacy
- 25. องค์ประกอบของเอกสารนโยบายและแนวปฏิบัติในการรักษา ความมั่นคงปลอดภัยด้านสารสนเทศ มาตรฐานขั้นต่าใน นโยบายและแนวปฏิบัติ ฯ • การควบคุมเข้าถึง • การจัดให้มีระบบสารสนเทศและระบบสารองของสารสนเทศที่อยู่ในสภาพ พร้อมใช้ • การตรวจสอบและประเมินความเสี่ยงอย่างสม่าเสมอ เอกสารที่ครอบคลุม เนื้อหาอย่างน้อย ๕ ประเภท • ประกาศนโยบายและแนวปฏิบัติด้าน security • ขั้นตอนปฏิบัติในการรักษาความมั่นคงปลอดภัยที่มีลักษณะเฉพาะเจาะจง และสามารถปฏิบัติได้จริง • แผนสารองระบบสารสนเทศ • แผนเตรียมความพร้อมกรณีฉุกเฉิน • คาสั่งแต่งตั้งบุคลากรที่รับผิดชอบตามนโยบายในด้านต่างๆ เช่น ผู้รับผิดชอบต่อนโยบายฯ ผู้รับผิดชอบต่อแผนสารอง เป็นต้น
- 26. ประกาศ คธอ. เรื่อง แนวนโยบาย และ แนวปฏิบัติ ในการรักษา ความมั่นคง ปลอดภัยด้าน สารสนเทศ ของหน่วยงาน ของรัฐ พ.ศ. 2553 1. การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ 2. การจัดให้มีระบบสารสนเทศและระบบสารองของสารสนเทศซึ่งอยู่ในสภาพ พร้อมใช้งาน และจัดทาแผนเตรียมพร้อมกรณีฉุกเฉิน 3. การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่าเสมอ นโยบาย (Policy) ข้อปฏิบัติ (Practice) SECURITY 1. การเข้าถึงและควบคุมการใช้งานสารสนเทศ (access control) 2. การใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ (business requirements for access control) 3. การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) 4. หน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) 5. ควบคุมการเข้าถึงเครือข่าย (network access control) 6. การควบคุมการเข้าถึงระบบปฏิบัติการ (operating system access control) 7. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ (application and information access control) 8. จัดทาระบบสารอง 9. ให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ 10.กาหนดหน้าที่ความรับผิดชอบที่ชัดเจน หากเกิดกรณีระบบคอมพิวเตอร์หรือ ข้อมูลสารสนเทศเกิดความเสียหาย หรืออันตรายใดๆ แก่องค์กร หรือผู้หนึ่งผู้ใด
- 27. 27 CaseStudyประเทศแคนาดา Givingthechoiceto thepeopleweserve Present Future Single Authentication Provider Single Credential Option Single Level of Assurance Bundling of Services (Costly) Multiple Recognized Providers Multiple Credential Options Multiple Levels of Assurance GC Access Key Service Authentication Mandatory Service Cyber-Auth Service Federation Commercial GC Branded ePass Service Authentication Encryption Digital Signature PKI Mandatory Service Past Single Authentication Provider Single Credential Option Single Level of Assurance Standards-based User Choice Mandatory Services Approach approved by TB Ministers Source: Mr. Robert.Sunday <Robert.Sunday@tbs-sct.gc.ca>