Content library
Tietoturvan ja tietosuojan omavalvontasuunnitelma
6.6.3: Tekniset vaatimukset

How to fill the requirement

Tietoturvan ja tietosuojan omavalvontasuunnitelma

6.6.3: Tekniset vaatimukset

Task name
Priority
Status
Theme
Policy
Other requirements
Palomuurisuojaus
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Technical cyber security
Network security
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Palomuuri on ohjelmisto, joka hallinnoi yhteyksiä verkkojen (sisäiten tai ulkoisten) tai verkkosovellusten välillä. Palomuuri voidaan asettaa hyväksymään, estämään tai suodattamaan yhteksiä tiettyjen kriteerien perusteella.

Organisaation käyttämät tietojärjestelmät, niiden käyttöympäristöt sekä ulkoiset liityntäpisteet on suojattu joko tilallisella palomuurilla tai sovelluspalomuurilla.

Vaatimukset ulkoiselle liityntäpisteen toteuttajalle
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Mikäli liityntäpisteen toteuttaa joku muu kuin Kanta-liittyjä (eli käytetään välittäjää) on vaatimuksena, että:

  1. Liikenne liittyjän potilastieto- tai apteekkijärjestelmältä ulkoistetulle liityntäpisteelle tulee salata vähintään vastaavan tasoisella menetelmällä kuin TLS siltä osin kuin se kulkee muualla kuin organisaation sisäverkossa (esimerkiksi operaattorin runkoverkko, vaikka käytössä olisi operaattorin suljettu yhteys).
  2. Sanomaliikenteen kaikkien osapuolten identiteetti tulee varmentaa. Varmentaminen on pakollista organisaatioiden välisessä tiedonsiirrossa, jossa käytetään muita kuin sisäverkon yhteyksiä. Tapauksissa, joissa potilastietojärjestelmien- tai apteekkijärjestelmien palvelimet sijaitsevat samassa konesaliympäristössä tiedonsiirtoon hyödynnettävien erillisten laitteistojen kanssa (kuormantasaajat, SSL-kiihdyttimet tms.) sekä mahdollisen välityspalvelun kanssa, ei varmennepohjainen tunnistaminen näiden välillä ole pakollista. Tämä kuitenkin edellyttäen että konesalin- ja käyttöympäristön sisäisestä tietoturvasta on huolehdittu auditointikriteereissä esitettyjen vaatimusten mukaisesti.
  3. Liityntäpisteen toteuttajan tulee varmistaa, että sanoma on lähetetty oikean tahon nimissä (eli HL7-sanoman controlActProcess / authorOrPerformer / assignedPerson / assignedPerson / representedOrganization / id vastaa edellisen kohdan mukaisesti varmennettua identiteettiä).
  4. Välittäjältä vaaditun tietoturvatason toteutuminen tulee varmistaa auditointi-/sertifiointimenettelyllä. KANTA-määrittelyistä (2007) poiketen WS-Security-standardin mukainen sanomatason allekirjoitus ja/tai salaus eivät ole käytössä (VVAR019)
Sähköisen allekirjoituksen salaus
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Sähköisen allekirjoituksen osalta noudatetaan Kanta-allekirjoitusmäärityksessä esitettyjä vaatimuksia käytettävien salausalgoritmien ja tiivistefunktioiden osalta.

Lisätiedot

Kanta-allekirjoitusmääräys

Kanta-tietoliikenteen salaaminen
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Liikenne liityntäpisteen ja Kanta-palvelun välillä salataan ja osapuolet tunnistetaan TLS-tekniikalla (vähintään TLS-versio 1.2) käyttäen VRK:n myöntämiä palvelinvarmenteita (mutual authentication).

Palvelinvarmenteissa on käytettävä Viestintäviraston TLS-salausvahvuussuosituksen mukaisesti vähintään 2048-bittisiä RSA-avaimia.

Good encryption key management practices
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Technical cyber security
Encryption
12
requirements

Task is fulfilling also these other security requirements

I12: Salausratkaisut
Katakri
10.1.2: Key management
ISO27 Full
6.6.3: Tekniset vaatimukset
Self-monitoring
TEK-16: Tiedon salaaminen
Julkri
21.2.h: Encryption
NIS2
1. Task description

Our organization has defined policies for creating, storing, sharing, and deleting encryption keys.

Encryption key lengths and usage practices will be selected in accordance with best general practices by monitoring developments in the industry.

Kanta-palveluun yhteydessä olevien palvelinten kellon synkronointi
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Kanta-palveluun suoraan tai välillisesti yhteydessä olevien palvelinten aika synkronoidaan Mittatekniikan keskuksen toimittaman Suomen virallisen ajan kanssa. Julkisen NTP-palvelun käyttö on riittävää.

Vaatimukset vastaanottopalveluille
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Vastaanottopalveluissa (Kanta -> liittyjä -suuntaisissa yhteysavauksissa) on vaatimuksena, että:

  1. Liityntäpisteen toteuttaja tarkistaa Kelan Kanta-liityntäpisteen palvelinvarmenteen (ns. mutual authentication).
  2. Kullekin palvelulle (esimerkiksi lääkemääräyksen uudistamispyynnön vastaanotto) on yksi Kanta-palvelulle päin näkyvä organisaatioyksikkökohtainen liityntäpiste. Kanta ei suorita IPfailoveria liittyjän suuntaan
Palvelinvarmenteen yksilöivyys ja vastaavuus Kanta-osoitehakemiston tietoihin
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Vaatimuksena on, että palvelinvarmenteen subject/serialNumber-kentän OID-koodi yksilöi liityntäpisteen ja vastaa Kanta-osoitehakemiston tietoja.

Yhteys Kanta-organisaatiorekisterissä
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Potilastiedon arkistoon liikennöitäessä, Kanta-organisaatiorekisterissä on olemassa määritelty yhteys liittyjäorganisaation ja rekisterinpitäjän välillä (vain Potilastiedon arkiston käyttöä varten, syntyy liittymishakemuksen täyttämisen yhteydessä).

Poikkeuksena ovat erikseen määriteltävät yksityisen terveydenhuollon vuokralaisjärjestelyt.

Käyttöoikeudet Kanta-osoitehakemistossa
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Kanta-osoitehakemistossa on määriteltynä riittävät käyttöoikeudet kullekin Kanta-palvelua käyttävälle liityntäpisteen ja liittyjäorganisaation yhdistelmälle (syntyy liittymishakemuksen täyttämisen yhteydessä)

Yhteys Kanta-osoitehakemistossa
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Kanta-osoitehakemistossa on olemassa määritelty yhteys (oman tai ulkoistetun) liityntäpisteen ja Kanta-liittyjäorganisaation välillä (syntyy liittymishakemuksen täyttämisen yhteydessä).

Varmenteen tarkistaminen
Critical
High
Normal
Low
Fully done
Mostly done
Partly done
Not done
Social and health services security plan
Connections and use of Kanta-services
1
requirements

Task is fulfilling also these other security requirements

6.6.3: Tekniset vaatimukset
Self-monitoring
1. Task description

Aina varmennepohjaisesti tunnistauduttaessa tai allekirjoituksia tarkistettaessa tarkistetaan varmenteen voimassaolo varmentajan sulkulistaa vasten.

No items found.