Rammeverk for formulering av portable krav til informasjonssikkerhet

Abstract

NORSK: Når data skal utveksles i et nettverk, eller det skal gis delt tilgang til data fra forskjellige systemer tilknyttet nettverket, vil aktører i forskjellige deler av nettet håndtere og beskrive sikkerhetsspørsmål på forskjellige måter, mens dataene vil ha de samme behov for sikkerhet etter at de er overført eller gjort tilgjengelig i det nye systemet. Det er derfor viktig at informasjon om sikkerhetskrav for data kan overføres til andre virksomheter. Det vil det kunne sikre at behandlingen der er i samsvar med forutsetningene for å overføre eller tillate bruk av informasjonen. Vi foreslår her en struktur for å beskrive metadata for sikkerhetskrav. Metadata brukes for å strukturere elementene i sikkerhetskrav, -tjenester, -mekanismer eller -prosedyrer. En kravspesifikasjon formuleres ved at de ønskede sikkerhetskrav samles i en enhetlig struktur. Ved å benytte en enhetlig formulering og strukturering vil sikkerhetskrav fra ulike omgivelser kunne gjøres sammenlignbare. Vi har benyttet en inndeling av sikkerhetskrav etter formaliseringsnivå, spesifikasjonstype og kravtype som er beskrevet i standarden PrENV 13608 for sikkerhet for kommunikasjon i helsenett. Vår metadatastruktur bruker denne inndelingen, men går videre i å formulere sikkerhetskravene på en enhetlig måte.

ENGELSK: When information is exchanged in a network, or different entities are accessing the same information through the network, the various actors will manage and describe information security requirements and precautions in different ways. The information itself will, however, maintain the security needs after being transferred or a shared access is opened. For this reason, it is important to be able to transfer knowledge about security requirements for the data. This would contribute to ensure that usage and handling of the data are in accordance with the conditions set prior to transferring the data. We have suggested a structure for describing metadata for security requirement. Metadata is used to structure elements of the security requirements, services, mechanisms or procedures. A requirement specification is formulated by assembling the wanted security requirements in a unified structure. By using a unified formulation and structure, security requirements from different environments may be made comparable. We have used categories of security requirements based on level of formality, specification type, and requirement type as described in the standard PrENV 13608 for Security for Healthcare Communication, but have extended the uniform structure in the formulation of the security requirements.