non-repudiation of emrs: the technology & standards aspect (speaker: urachada ketprom)

Non-Repudiation of Electronic Medical Records

1

ความมนคงปลอดภยในการท าธรกรรมทางอเลกทรอนกส

LAN LAN

LAN LAN

WAN

WAN

Internet

2

How to secure e-transaction ?

ปจจย 4 ประการทจะสรางความเชอมนในการท าธรกรรมทางอเลกทรอนกส

การรกษาความลบ (Confidentiality)1.

ความครบถวนของขอมล (Integrity)2.

การระบตวบคคล (Authentication)3.

การหามปฏเสธความรบผด (Non-repudiation)4.

เพอยนยนวาขอมลทสงมเพยงผสงและผรบเทานนทลวงร

เพอยนยนวาขอมลไมถกเปลยนแปลงระหวางการสงขอมล

เพอยนยนวาบคคลทตดตอดวยเปนบคคลทกลาวอางถงจรง

ผสงไมสามารถปฏเสธไดวาไมไดเปนผท าธรกรรมนน3

แนวทางการใชวธการทางอเลกทรอนกส

4

Encryption

Digital Signing

การรกษาความลบ(Confidentiality)

1.

ความครบถวนของขอมล(Integrity)

2.

การระบตวบคคล(Authentication)

3.

การหามปฏเสธความรบผด(Non-repudiation)

4.

ใบรบรองอเลกทรอนกสกบการระบตวตนวธอนๆ

5

• ออกโดย CA• ออกโดยกระทรวงการตางประเทศ

• มวนเรมตนและสนสดการใชงาน• มวนเรมตนและสนสดการใชงาน

• ประกอบดวยขอมลของเจาของใบรบรอง

• ประกอบดวยขอมลของเจาของหนงสอเดนทาง

• ใชในการยนยนตวบคคล

+ การรกษาความลบของขอมล

• ใชในการยนยนตวบคคล

ใบรบรอง

อเลกทรอนกสหนงสอเดนทาง

ผใหบรการออกใบรบรอง (Certification Authority)

6

ตวอยางการใชเทคโนโลย PKI ในปจจบน

7

• Secure e-Mail

• Secure e-Document

• Smartcard Logon

• Code Signing

• SSL (Secure Socket Layer)

• IPSec

• SSL VPN

ตวอยางการใชเทคโนโลย PKI ในปจจบน

8

ระบบ National Single Window e-Logistics

ตวอยางการใชเทคโนโลย PKI ในปจจบน

9

ระบบ e-Payment Service (Security)

9

PCC SITE

EFTPayment Gateway

Security Server

S/S

S/S

S/S

S/S

BT

S/S

Enterprise A

Enterprise B CA

Source: Thai Digital ID Co,Ltd.

Internet

ตวอยางการใชเทคโนโลย PKI ในปจจบน

10

ระบบ e-Payment Service (Workflow)

10

E-Payment Gateway &EFT Clearing System

1. Payment Entry5. Debit Entry

7. Debit Advice

8. Credit Entry

Security System

Security System

Security System

PCC System

DigitalSignature

CADirectory

12. Credit Advice

10. Credit Advice

Digital Signature

3. Acct. Inq.

4. Acct. Reply

Corp A

Corp B

Debit Bank

Credit Bank

Source: Thai Digital ID Co,Ltd.

Internet

ภาพรวมในการออกแบบระบบ National Root CA

11

มาตรฐานทเกยวของ

12

มาตรฐานเกยวกบใบรบรองอเลกทรอนกส: X.509, RFC 5280

มาตรฐานเกยวกบรปแบบของขอมลทใชในกระบวนการระบบรหส: PKCS

มาตรฐานเกยวกบอลกอรทม: ระบบรหสแบบสมมาตร, ระบบรหสแบบอสมมาตร, Hashing Function

มาตรฐานเกยวกบอปกรณทใชบนทกกญแจสวนตวทมความมนคงปลอดภยสง: FIPS 140

มาตรฐานเกยวกบการจดท าแนวนโยบายและแนวปฎบตของ CA: RFC 3647

มาตรฐานเกยวกบการบรหารจดการเพอใหเกดความมนคงปลอดภย: ISO/IEC 27001:2005

มาตรฐานเกยวกบการตรวจประเมน CA: Trust Services 2.0

กลไกการสรางความนาเชอถอของ CA

13

• พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ.2544• มาตรา 28 การพจารณาความเชอถอไดของ CA

• สถานภาพทางการเงน บคลากร สนทรพยทม

• คณภาพของ Hardware, Software• กระบวนการออกใบรบรอง การขอ การเกบรกษาขอมลการใหบรการ• การจดใหมขอมลขาวสารเกยวกบเจาของลายมอชอทระบในใบรบรอง

• ความสม าเสมอและขอบเขตในการตรวจสอบโดย External Auditor• องคกรทใหการรบรอง

• มาตรา 29 แนวนโยบาย(CP)/แนวปฏบต(CPS) • (ราง) กฎหมายวาดวยการก ากบดแล CA (อยระหวางการพจารณาของส านกงานคณะกรรมการกฤษฎกา)

• ประกาศคณะกรรมการฯ เรอง แนวนโยบายและแนวปฏบตของผใหบรการออกใบรบรอง

การก ากบดแลจากภาครฐ

• ผานการรวมกลมผประกอบการผานสมาคม ไทยแลนด พเคไอ

การก ากบดแลตนเอง

มาตรฐาน Health Informatics

• ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard.

• ISO 27799:2008 specifies • a set of detailed controls for managing health information security• health information security best practice guidelines

• a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information

• ISO 27799:2008 applies to health information in all its aspects; • whatever form the information takes (words and numbers, sound recordings,

drawings, video and medical images),

• whatever means are used to store it (printing or writing on paper or electronic storage) and

• whatever means are used to transmit it (by hand, via fax, over computer networks or by post)

The information must always be appropriately protected.

14

http:// http://www.iso.org

Definition of personal health information in ISO 27799• personal health information• information about an identifiable person which relates to the physical or mental

health of the individual, or to provision of health services to the individual, and which may include:a) information about the registration of the individual for the provision of health services;

• b) information about payments or eligibility for healthcare with respect to the individual;

• c) a number, symbol or particular assigned to an individual to uniquely identify the individual for health purposes;

• d) any information about the individual collected in the course of the provision of health services to the individual;

• e) information derived from the testing or examination of a body part or bodily substance;

• f) identification of a person (e.g. a health professional) as provider of healthcare to the individual.

• Note 1 to entry: Personal health information does not include information that, either by itself or when combined with other information available to the holder, is anonymized, i.e. the identity of the individual who is the subject of the information cannot be ascertained from the information. 15

16

1995

1998

BS 7799 Part 1

BS 7799 Part 2

Swedish standards SS 62 77 99 Parts 1 and 21999Updated version of BS 7799 Parts 1 and 2

December 2000 ISO/IEC 17799:2000

2001 Review of BS 7799-2

September 2002 Updated version of BS 7799-2

(revised and corrected)

June 2005 ISO/IEC 17799:2005

(Change Name to ISO/IEC 27002:2005)

ISO/IEC 27001:2005

(Revised BS 7799-2)

October 2005

1992 - 1993BSI &Industry working group: Developed « Code of Practice »

History of ISMS Standard

September 2013ISO/IEC 27001:2013

ISO 27002

● ISO/IEC 27002:2005 Code of Practices

○ Provide suggested controls with implementation guidelines – how to implement

○ Not a certifiable or auditable standard

○ The controls in ISO27002 are

contained in Annex A of ISO 27001

พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙

(บงคบใชตงแตวนท ๑๐ มกราคม ๒๕๕๐)

มาตรา ๓

การด าเนนการใดๆ เกยวกบเอกสารในรปของขอมลอเลกทรอนกส

มาตรา ๕การจดใหมแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ (Security Policy)

มาตรา ๖

การจดท าแนวนโยบายคมครองขอมลสวนบคคล (privacy policy)

ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. ๒๕๕๓

ประกาศ คธอ. เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของหนวยงานของรฐ พ.ศ. ๒๕๕๓

มาตรา ๗

แนวนโยบายและแนวปฏบตตามมาตรา ๕และ ๖ ตองไดรบความเหนชอบจากคณะกรรมการฯ

มาตรา ๘

คณะกรรมการฯ จดท าแนวนโยบายและแนวปฏบตใหเปนตวอยางกบหนวยงานภาครฐ

ม. ๓๕ แหง พ.ร.บ. ธรกรรมทางอเลกทรอนกส พ.ศ. ๒๕๔๔

พ.ร.ฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙

หนวยงานของรฐ ตาม

ม. ๔ พ.ร.บ. ธรกรรมฯ

ขนตอนการด าเนนการจดสงนโยบายและแนวปฏบตฯ

การประเมนตนเอง (Checklist)

สนง.คณะกรรมการฯ พจารณาเบองตน

คณะอนกรรมการความมนคงปลอดภยพจารณาใหความเหน

คณะกรรมการธรกรรมทางอเลกทรอนกสพจารณาใหความเหนชอบ

๑๒

๓๔

การคมครองขอมลสวนบคคล (Personal Data Protection)

22

ประกาศ คธอ. เรอง

แนวนโยบายและ

แนวปฏบตในการ

คมครองขอมลสวนบคคล

ของหนวยงานของรฐ พ.ศ.

2553

นโยบาย(Policy)

ขอปฏบต(Practice)

สอดคลองกนและตองค านงถงหลกเกณฑ 8 ประการ ดงน

1. การเกบรวบรวมขอมลสวนบคคลอยางจ ากด (Collection Limitation Principle)

2. คณภาพของขอมลสวนบคคล (Data Quality Principle)

3. การระบวตถประสงคในการเกบรวบรวม (Purpose Specification Principle)

4. ขอจ ากดในการน าขอมลสวนบคคลไปใช (Use Limitation Principle)

5. การรกษาความมนคงปลอดภย (Security Safeguards Principle)

6. การเปดเผยเกยวกบการด าเนนการ แนวปฏบต และนโยบายทเกยวกบขอมลสวนบคคล (Openness Principle)

7. การมสวนรวมของเจาของขอมล (Individual Participation Principle)

8. ความรบผดชอบของบคคลซงท าหนาทควบคมขอมล (Accountability Principle)

สอดคลองกบ OECDPrivacy

การรกษาความมนคงปลอดภย (Security)

24

องคประกอบของเอกสารนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

มาตรฐานขนต าในนโยบายและแนวปฏบต

ฯ

• การควบคมเขาถง

• การจดใหมระบบสารสนเทศและระบบส ารองของสารสนเทศทอยในสภาพพรอมใช

• การตรวจสอบและประเมนความเสยงอยางสม าเสมอ

เอกสารทครอบคลมเนอหาอยางนอย ๕

ประเภท

• ประกาศนโยบายและแนวปฏบตดาน security

• ขนตอนปฏบตในการรกษาความมนคงปลอดภยทมลกษณะเฉพาะเจาะจงและสามารถปฏบตไดจรง

• แผนส ารองระบบสารสนเทศ

• แผนเตรยมความพรอมกรณฉกเฉน

• ค าสงแตงตงบคลากรทรบผดชอบตามนโยบายในดานตางๆ เชน ผรบผดชอบตอนโยบายฯ ผรบผดชอบตอแผนส ารอง เปนตน

ประกาศ คธอ. เรอง

แนวนโยบายและ

แนวปฏบตในการรกษาความมนคง

ปลอดภยดานสารสนเทศ

ของหนวยงานของรฐ พ.ศ.

2553

1. การเขาถงหรอควบคมการใชงานสารสนเทศ2. การจดใหมระบบสารสนเทศและระบบส ารองของสารสนเทศซงอยในสภาพพรอมใชงาน และจดท าแผนเตรยมพรอมกรณฉกเฉน3. การตรวจสอบและประเมนความเสยงดานสารสนเทศอยางสม าเสมอ

นโยบาย(Policy)

ขอปฏบต(Practice)

SECURITY

1. การเขาถงและควบคมการใชงานสารสนเทศ (access control)2. การใชงานตามภารกจเพอควบคมการเขาถงสารสนเทศ (business

requirements for access control)3. การบรหารจดการการเขาถงของผใชงาน (user access management)4. หนาทความรบผดชอบของผใชงาน (user responsibilities)5. ควบคมการเขาถงเครอขาย (network access control)6. การควบคมการเขาถงระบบปฏบตการ (operating system access

control)7. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

(application and information access control)8. จดท าระบบส ารอง9. ใหมการตรวจสอบและประเมนความเสยงดานสารสนเทศ10.ก าหนดหนาทความรบผดชอบทชดเจน หากเกดกรณระบบคอมพวเตอรหรอ

ขอมลสารสนเทศเกดความเสยหาย หรออนตรายใดๆ แกองคกร หรอผหนงผใด

27

Case StudyประเทศแคนาดาGiving the choice to the people we serve

Present Future

Single Authentication Provider Single Credential Option Single Level of Assurance Bundling of Services (Costly)

Multiple Recognized Providers Multiple Credential Options Multiple Levels of Assurance

GC Access KeyService

Authentication

Mandatory Service

Cyber-AuthService

Federation

Commercial

GC Branded

ePass Service

Authentication

Encryption

Digital Signature

PKI

Mandatory Service

Past

Single Authentication Provider Single Credential Option Single Level of Assurance

Standards-based

User Choice Mandatory Services

Approach approved by TB Ministers

Source: Mr. Robert.Sunday <Robert.Sunday@tbs-sct.gc.ca>