Rammeverk for formulering av portable krav til informasjonssikkerhet
Abstract
NORSK:
Når data skal utveksles i et nettverk, eller det skal gis delt tilgang til data fra forskjellige
systemer tilknyttet nettverket, vil aktører i forskjellige deler av nettet håndtere og
beskrive sikkerhetsspørsmål på forskjellige måter, mens dataene vil ha de samme
behov for sikkerhet etter at de er overført eller gjort tilgjengelig i det nye systemet. Det
er derfor viktig at informasjon om sikkerhetskrav for data kan overføres til andre
virksomheter. Det vil det kunne sikre at behandlingen der er i samsvar med
forutsetningene for å overføre eller tillate bruk av informasjonen.
Vi foreslår her en struktur for å beskrive metadata for sikkerhetskrav. Metadata brukes
for å strukturere elementene i sikkerhetskrav, -tjenester, -mekanismer eller
-prosedyrer. En kravspesifikasjon formuleres ved at de ønskede sikkerhetskrav samles
i en enhetlig struktur. Ved å benytte en enhetlig formulering og strukturering vil
sikkerhetskrav fra ulike omgivelser kunne gjøres sammenlignbare. Vi har benyttet en
inndeling av sikkerhetskrav etter formaliseringsnivå, spesifikasjonstype og kravtype
som er beskrevet i standarden PrENV 13608 for sikkerhet for kommunikasjon i
helsenett. Vår metadatastruktur bruker denne inndelingen, men går videre i å
formulere sikkerhetskravene på en enhetlig måte. ENGELSK:
When information is exchanged in a network, or different entities are accessing the
same information through the network, the various actors will manage and describe
information security requirements and precautions in different ways. The information
itself will, however, maintain the security needs after being transferred or a shared
access is opened. For this reason, it is important to be able to transfer knowledge about
security requirements for the data. This would contribute to ensure that usage and
handling of the data are in accordance with the conditions set prior to transferring the
data.
We have suggested a structure for describing metadata for security requirement.
Metadata is used to structure elements of the security requirements, services,
mechanisms or procedures. A requirement specification is formulated by assembling
the wanted security requirements in a unified structure. By using a unified formulation
and structure, security requirements from different environments may be made
comparable. We have used categories of security requirements based on level of
formality, specification type, and requirement type as described in the standard PrENV
13608 for Security for Healthcare Communication, but have extended the uniform
structure in the formulation of the security requirements.