eegészség Program 27. Projekt Elektronikus közhiteles nyilvántartások Megvalósítási tanulmány Készítette: Szentgáli Ádám (Stubenvoll Bt.) 1.1 Budapest, 2004 szeptember 30
Tartalom I. Az EKNY adatbank, szolgáltatásai és a webes közzétételi környezet 1 Bevezető... 8 1.1 A Megvalósítási Tanulmány célja... 8 1.2 Az EKNy informatikai rendszerének feladatkörei... 8 1.2.1 A közhiteles adatok megjelenítése... 8 1.2.2 Az egységes elérhetőséghez szükséges feldolgozások... 9 1.2.3 Az adathozzáférési felület biztosítása... 9 1.2.4 Az adatkezelés biztonsága... 9 1.3 A dokumentum... 10 1.4 Verziókezelés... 11 2 A rendszer tervezésének szempontjai... 13 2.1 Adatbiztonság... 13 2.1.1 A közhiteles adatok integritásának biztosítása... 14 2.1.2 Az adatok illetéktelen hozzáférés elleni védelme... 14 2.2 Rendelkezésre állás... 15 2.3 Teljesítmény... 17 3 Adatbank szolgáltatások... 18 3.1 Naplózás... 18 3.1.1 Célja... 18 3.1.2 Adatmódosulások... 19 3.1.3 Gyanús felhasználók tevékenységei... 19 3.1.4 Bizalmas területek hozzáférései... 20 3.1.5 A naplók kiértékelése... 20 3.2 Archiválás... 21 3.2.1 Az adattár mentése... 21 3.2.2 Az adattár visszaállítása... 21 3.3 Hozzáférési jogosultságok... 22 3.3.1 Jogosultságok az informatikai rendszer szintjén... 23 3.3.2 Alkalmazás-szintű jogosultságok... 24 3.3.3 Az adatlekérdezés jogosultságának vizsgálata... 25 3.3.4 Keresési jogosultság... 25 3.4 Az adatforgalom titkosítása... 26 3.5 Katasztrófa-kezelés... 26 4 Adatgyűjtési szolgáltatások... 28 4.1 Saját kezelésben levő adatbázis... 28 4.1.1 Adatfrissítés... 28 4.1.2 Osztott hozzáférés több adatgazda esetén... 30 4.1.3 Adatlekérdezés... 30 Stubenvoll Bt 2 / 141 Budapest, 2004 szeptember 30
4.2 Helyi másolat tükör biztosítása... 30 4.2.1 Adatfrissítés... 31 4.2.2 Adatlekérdezés... 32 4.3 Hozzáférés programozási interfészen keresztül... 32 4.4 Web-link biztosítása... 32 4.5 Off-line információ biztosítása... 33 4.6 Statikus adatok... 33 4.7 Az adatgyűjtési módok összehasonlítása... 34 5 Webes közzétételi környezet... 35 5.1 Üzleti logika... 35 5.1.1 Technológiai megfontolások... 35 5.1.2 Adatkeresési funkciók... 36 5.1.3 Jogosultságok kezelése... 37 5.1.4 Adathozzáférés, lekérdezés... 37 5.1.5 Naplózás... 38 5.1.6 Konzisztencia-vizsgálat... 38 5.1.7 Rendszerhiba jelzés és riasztás... 38 5.2 Megjelenítés... 39 5.2.1 Dinamikus oldalak... 39 5.2.2 Statikus oldalak... 39 5.2.3 Tartalom alapú keresés... 40 5.2.4 Adminisztratív tevékenységek felületei... 40 6 Architektúra... 41 6.1 Az EKNy rendszer... 41 6.1.1 Rendelkezésre állás... 41 6.1.2 Sebesség... 41 6.1.3 Karbantarthatóság... 42 6.2 Hardver... 42 6.2.1 Raid vagy SCSI winchestertárolás... 42 6.2.2 Memória kapacitás... 42 6.2.3 Processzorsebesség... 43 6.2.4 Hálózati kapcsolat sebessége... 43 6.2.5 Topológiai elhatárolódás... 43 6.2.6 Internet biztonság... 43 6.3 Szoftver... 43 6.3.1 Operációs rendszer... 44 6.3.2 Adatbázis... 44 6.3.3 Alkalmazás szerver... 44 6.3.4 Web szerver... 45 6.4 A javasolt architektúra áttekintése... 45 6.5 Hardver architektúra... 46 6.5.1 Adatbázis szerver és tükrözött adatbázis szerver... 47 6.5.2 Kapcsolódó adatbázis szerverek... 47 6.5.3 Alkalmazás szerver és tükrözött alkalmazás szerver... 47 6.5.4 Tűzfal és tükrözött tűzfal... 48 6.5.5 Web szerver és tükrözött Web szerver... 48 Stubenvoll Bt 3 / 141 Budapest, 2004 szeptember 30
6.5.6 Internet és a felhasználók... 48 6.6 Szoftver architektúra... 49 6.6.1 Adatbázis szerver... 50 6.6.2 Tükrözött és saját adatok... 50 6.6.3 Kapcsolódó adatbázis szerver... 50 6.6.4 Alkalmazás szerver... 50 6.6.5 Tűzfal... 51 6.6.6 Web szerver... 51 6.6.7 Internet... 51 II. Az adatmodell 7 Adatmodellezési, adatbázis-tervezési ajánlás... 53 7.1 Technológiai alapfogalmak... 53 7.1.1 Adatmodell... 53 7.1.2 Az UML... 53 7.1.3 Adatmodellezés UML-ben... 54 7.1.4 Az SQL... 55 7.2 Elvárások... 55 7.2.1 Elvárások az adatmodellel szemben... 55 7.2.2 Elvárások az UML adatmodellezéssel szemben... 55 7.3 Ajánlások... 56 7.3.1 Ajánlások modellezési eszközökre... 56 8 A létező egészségügyi és szociális közhiteles nyilvántartások adatmodellje... 57 8.1 A létező közhiteles nyilvántartások áttekintése... 57 8.2 Orvosok, fogorvosok alapnyilvántartása... 59 8.2.1 Áttekintés... 59 8.2.2 Entitások... 59 8.2.3 Adatbázis információk... 60 8.2.4 Hozzáférési szabályozások... 61 8.2.5 Egységesítési ajánlások... 61 8.3 Orvosok, fogorvosok működési nyilvántartása... 61 8.3.1 Áttekintés... 61 8.3.2 Entitás leírások... 62 8.3.3 Adatbázis információk... 68 8.3.4 Hozzáférési szabályozások... 68 8.3.5 Egységesítési ajánlások... 69 8.4 Gyógyszerészek alapnyilvántartása... 70 8.4.1 Áttekintés... 70 8.4.2 Entitások... 71 8.4.3 Adatbázis információk... 71 8.4.4 Hozzáférési szabályozások... 71 8.4.5 Egységesítési ajánlások... 72 8.5 Gyógyszerészek működési nyilvántartása... 72 8.5.1 Áttekintés... 72 8.5.2 Entitások... 72 Stubenvoll Bt 4 / 141 Budapest, 2004 szeptember 30
8.5.3 Adatbázis információk... 73 8.5.4 Hozzáférési szabályozások... 73 8.5.5 Egységesítési ajánlások... 73 8.6 Klinikai szakpszichológusok alapnyilvántartása... 73 8.6.1 Áttekintés... 73 8.6.2 Entitás leírások... 74 8.6.3 Adatbázis információk... 74 8.6.4 Hozzáférési szabályozások... 75 8.6.5 Egységesítési ajánlások... 75 8.7 Klinikai szakpszichológusok működési nyilvántartása... 75 8.7.1 Áttekintés... 75 8.7.2 Entitás leírások... 75 8.7.3 Adatbázis információk... 76 8.7.4 Hozzáférési szabályozások... 77 8.7.5 Egységesítési ajánlások... 77 8.8 Egészségügyi szakdolgozók alapnyilvántartása... 77 8.8.1 Áttekintés... 77 8.8.2 Entitás leírások... 77 8.8.3 Adatbázis információk... 78 8.8.4 Hozzáférési szabályozások... 78 8.8.5 Egységesítési ajánlások... 79 8.9 Egészségügyi szakdolgozók működési nyilvántartása... 79 8.9.1 Áttekintés... 79 8.9.2 Entitás leírások... 79 8.9.3 Adatbázis információk... 80 8.9.4 Hozzáférési szabályozások... 80 8.9.5 Egységesítési ajánlások... 80 8.10 Gyógyszerek nyilvántartása... 81 8.10.1 Áttekintés... 81 8.10.2 Entitás leírások... 81 8.10.3 Adatbázis információk... 82 8.10.4 Hozzáférési szabályozások... 82 8.10.5 Egységesítési ajánlások... 82 8.11 Szolgáltatók nyilvántartása... 83 8.11.1 Áttekintés... 83 8.11.2 Entitás leírások... 84 8.11.3 Adatbázis információk... 88 8.11.4 Hozzáférési szabályozások... 89 8.11.5 Egységesítési ajánlások... 89 8.12 Országos Transzplantációs Nyilvántartás... 89 8.12.1 Áttekintés... 89 8.12.2 Entitás leírások... 90 8.12.3 Adatbázis információk... 90 8.12.4 Hozzáférési szabályozások... 90 8.12.5 Egységesítési ajánlások... 90 8.13 TAJ nyilvántartás... 91 Stubenvoll Bt 5 / 141 Budapest, 2004 szeptember 30
8.13.1 Áttekintés... 91 8.13.2 Entitás leírások... 91 8.13.3 Hozzáférési szabályozások... 92 8.14 Szakmai kódnyilvántartások (BNO, FNO, OENO, HBCS)... 92 8.14.1 Áttekintés... 92 8.14.2 Entitás leírások... 93 8.14.3 Adatbázis információk... 94 8.14.4 Hozzáférési szabályozások... 95 8.14.5 Egységesítési ajánlások... 95 8.15 Finanszírozási, besorolási algoritmusok... 95 8.15.1 Áttekintés... 95 8.15.2 Entitás leírások... 96 8.15.3 Adatbázis információk... 96 8.15.4 Hozzáférési szabályozások... 97 8.15.5 Egységesítési ajánlások... 97 8.16 További, ajánlott nyilvántartások... 97 9 Az EKNy rendszer közös adatmodellje... 99 9.1 Közös adatmodell csoportjai... 99 9.2 Orvos alapnyilvántartás... 100 9.3 Orvos működési nyilvántartás... 101 9.4 Gyógyszerész alapnyilvántartás... 103 9.5 Gyógyszerészek működési nyilvántartása... 103 9.6 Klinikai szakpszichológusok alapnyilvántartása... 104 9.7 Klinikai szakpszichológusok működési nyilvántartása... 104 9.8 Egészségügyi szakdolgozók alapnyilvántartása... 105 9.9 Egészségügyi szakdolgozók alapnyilvántartása... 106 9.10 Gyógyszerek nyilvántartása... 107 9.11 Szolgáltatók nyilvántartása... 108 9.12 Szakmai kódnyilvántartás... 109 9.13 Finanszírozási, besorolási algoritmusok... 110 10 A harmonizált adatmodell lehetőségei és korlátai... 111 III. Az EKNy kialakítása 11 A megvalósításra kerülő EKNy rendszer, mint logikai egész... 114 11.1 Az újratervezés okai... 114 11.2 Javasolt architektúra... 114 11.3 További javaslatok a hardver architektúrára... 116 11.4 Tovább egyszerűsített architektúra... 117 12 Az EKNy adatbank-funkcióinak ismertetése... 119 12.1 Adattárolás... 119 12.1.1 Tükrözött adatok... 119 12.1.2 Távoli adatok interfészen keresztül... 120 12.1.3 Adatbázis szinten... 120 12.1.4 Adatok frissítése... 121 12.1.5 Adatkonverziós eljárások... 121 Stubenvoll Bt 6 / 141 Budapest, 2004 szeptember 30
13 Üzleti logika... 122 13.1 Szerepe... 122 13.2 Adatok kinyerése... 122 13.2.1 Tükrözött adatokból... 122 13.2.2 Interfészen keresztül kezelt adatokból... 122 13.3 Belső szerviz funkciók... 123 13.3.1 Párhuzamosított adathozzáférés... 123 13.3.2 Zárolás... 123 13.3.3 Frissítés... 123 13.4 Archiválás... 124 13.4.1 Az adattár mentése... 124 13.4.2 Az adattár visszaállítása... 124 13.5 Jogosultság kezelések... 124 13.5.1 Szerepkörök... 125 13.5.2 Felhasználók... 126 13.6 Naplózások... 126 13.6.1 Adatmódosulások naplózása... 126 13.6.2 Lekérdezések naplózása... 127 13.6.3 Napló állományok megtekintése... 128 13.6.4 Napló állományok törlése... 128 13.6.5 Naplózási jogosultságok... 129 14 Az EKNy Webes közzétételi felület funkciói... 130 14.1 Szerepe... 130 14.2 Listázás... 130 14.2.1 Alapértelmezett listák... 130 14.2.2 Tartalom szerinti keresések listája... 130 14.3 Keresési módok... 131 14.3.1 Továbbirányítás... 131 14.3.2 Célirányos keresés... 131 14.3.3 Tartalom szerinti keresés... 131 14.4 Illeszkedés... 132 14.4.1 Plumtree... 132 14.5 Felhasználók kezelése... 132 14.5.1 Jogosultság... 133 14.5.2 Azonosítás... 134 15 Üzemeltetés... 136 15.1 Adatbázis kezelése... 136 15.2 Alkalmazás szerver kezelése... 136 15.3 Web szerver kezelése... 136 16 Katasztrófa védelem... 138 17 Képzési terv... 139 17.1 Alapképzés... 139 17.2 Adatfrissítés... 139 17.3 Rendszerkarbantartás... 140 17.4 Naplózási ismeretek... 140 17.5 Jogosultság karbantartás... 141 Stubenvoll Bt 7 / 141 Budapest, 2004 szeptember 30
1 Bevezető 1.1 A Megvalósítási Tanulmány célja Az Elektronikus Közhiteles Nyilvántartások projekt célja egy olyan informatikai rendszer megvalósítása, amely az egészségügyben nyilvántartott közhiteles adatokat megjeleníti, és az egészségügy és szociális szektor szereplői ellátottak, ellátók, intézmények és irányítók részéről a közhiteles egészségügyi adatokra irányuló legkülönbözőbb szintű és jogosultságokat igénylő lekérdezéseket egységes felületen fogadja és megválaszolja. A Megvalósítási Tanulmány célja ezen informatikai rendszer logikai tervének kidolgozása. A megvalósítandó EKNy rendszer korszerű megoldását a forrás-adatbázisok egységes adatmodellre való konverziója és az arra jogosultak számára, interneten keresztüli, szabályozott és ellenőrzött, de azonnali lekérdezési lehetőség biztosítása jelenti. Ennek érdekében a rendszer a közhiteles adatokat részben maga kezeli, részben pedig a létező közhiteles adatbázisokkal különböző e dokumentumban részletezett kapcsolatokat épít fel. A közvetlen cél az adatmodell, valamint a müködtetési és publikációs technikai specifikáció elkészítése, nem tévesztve szem elől a távlati célokat, többek között az egészségügyi és szociális szektor résztvevőinek az ekormányzat jelenlegi és kiterjesztett szolgáltatásaihoz való hozzásegítését. 1.2 Az EKNy informatikai rendszerének feladatkörei Az Elektronikus Közhiteles Nyilvántartások informatikai rendszere az alábbi fő feladatköröket látja el: 1. A közhiteles adatok megjelenítése 2. Az egységes elérhetőséghez szükséges feldolgozások 3. Az adathozzáférési felület biztosítása 4. Gondoskodás az adatkezelés biztonságáról 1.2.1 A közhiteles adatok megjelenítése Jelenleg a közhiteles egészségügyi adatok különféle adattárakban, különböző szervezetek kezelésében állnak rendelkezésre. Az EKNy rendszer aszerint, hogy az egyes adattárak milyen műszaki és jogi lehetőségeket biztosítanak, kapcsolatot létesít ezen adattárakkal, és saját adatbázist épít fel, az adatokról másolatot készít, hozzáférési csatornát nyit meg a forrás-adatokhoz vagy elérési információt nyújt a kérelmezőnek. Stubenvoll Bt 8 / 141 Budapest, 2004 szeptember 30
Itt jegyezzük meg, hogy a közhiteles adattárak azonosításával, feltérképezésével két további projekt foglalkozik az eegészség program keretében: A létező közhiteles nyilvántartások felmérése (25. számú projekt) és A közhiteles nyilvántartások jogi környezetének feltérképezése (26. számú projekt). Az e projektekkel való együttműködés során kialakított jegyzék az egészségügy közhiteles adattárairól a Függelékben olvasható és e dokumentum a továbbiakban erre a jegyzékre támaszkodik. 1.2.2 Az egységes elérhetőséghez szükséges feldolgozások Megfelelő szoftver-technológia segítségével biztosítjuk, hogy a konkrét adatelérési információ elváljék az adatkezelés logikájától. Ez azt jelenti, hogy az adatok konkrét tárolása teljesen elkülönül a programozási logikától, és megfelelő keretrendszerek biztosítják az adatokhoz történő hozzáférések irányait, melynek következtében az EKNy rendszer logikájában az adatokhoz való hozzáférés csupán konfiguráció kérdése. 1.2.3 Az adathozzáférési felület biztosítása A kérelmező az adatokhoz egységes, internetes felületen keresztül férhet hozzá. Ez a felület gondoskodik a kérelmező azonosításáról, a lekérdezéshez megkívánt adatok fogadásáról, a jogosultság ellenőrzéséről illetve a válasz-adatok átadásáról. Az egységes felület nem magától értetődő igény, mivel az EKNy rendszer felhasználói igen tág spektrumot ölelnek fel. Ennek egyik végén az egyszerű állampolgár helyezkedik el, aki például informálódni kíván arról, hogy egy adott egészségügyi szolgáltató rendelkezik-e adott szakképesítéssel, egy adott kezelés elvégzésére jogosult-e. Ezt az információt minden különösebb azonosítás nélkül, az internet használata során megszokott módon és egyszerű ügykezeléssel meg kell kapja. Ugyanez a felület kezeli azonban azt a a spektrum másik végén elhelyezkedő transzplantációs kérelmet is, amely egy frissen elhunyt betegnek szervátültetésére vonatkozó hiteles nyilatkozatára irányul, mely szükséges ahhoz, hogy szervét egy átültetésben felhasználják. E kérelem csak akkor válaszolható meg, ha az egy előzőleg lajstromba vett intézmény regisztrált programjától, és a megfelelő jogosultságokkal rendelkező személytől érkezik, ráadásul az adatokat a személyiségi jogok fokozott védelme miatt titkosítva kell továbbítani. 1.2.4 Az adatkezelés biztonsága Ez az EKNy rendszer sarkalatos pontja, tekintettel a szóban forgó adatok kényes voltára. A biztonsági kérdéskör igen széleskörű, a hozzáférési jogosultság kifinomult kezelésétől az adatforgalom titkosításán keresztül a naplózási feladatokig számos feladatot ölel fel, melyekre a későbbi fejezetekben részletesen kitérünk. Gondoskodni kell a műszaki meghibásodás vagy rosszindulatú adatrongálás következtében fellépő adathibák korrigálásáról, az adatkonzisztencia szükség esetén való helyreállításáról, illetve az ezzel Stubenvoll Bt 9 / 141 Budapest, 2004 szeptember 30
kapcsolatos tervezési elvek figyelembevételéről és eljárásrendi teendők megfogalmazásáról is. Ugyanakkor, mint arra az előző pont példájában már rámutattunk, a jogosultságok kezelése az EKNy rendszerben igen tág határok között kell történjék, tekintettel egyrészt az adatok, másrészt a kérelmezők széles spektrumára. Az adatok szempontjából figyelembe kell vegyük a személyes nem személyes jellegű adatok szerinti osztályozást legyen példa erre az orvostörzs és a gyógyszertörzs adattárainak szembeállítása, más szemszögből nézve azonban utalnunk kell arra, hogy nem csak a személyes adatokat kell megfelelő védettséggel kezelni, mert például a fejkvóta vagy a finanszírozási algoritmusok csak a Minisztérium és az OEP megfelelően feljogosított képviselői számára lehetnek hozzáférhetőek, azaz meg kell különböztetnünk a nyilvános nem nyilvános kategória szerinti osztályozást is. 1.3 A dokumentum Az EKNy Megvalósítási Tanulmány elkészítése során elvégzett tevékenységek a következő termékekben öltenek testet: M1 - M2 - M3 - M4 - Adatmodell, Adatbank szolgáltatások, Technikai specifikáció, Üzemeltetői képzési terv. A Tanulmány ugyanakkor e tartalmakat a logikai felépítésnek megfelelően az alábbi tagolásban jeleníti meg: I. Az EKNY adatbank, szolgáltatásai és a webes közzétételi környezet Az EKNy rendszer tervezési szempontjainak, valamint a megvalósítás strukturális modelljének ismertetése A rendszer kialakítását meghatározó igények Az EKNy adatbank szolgáltatásainak meghatározása A meglevő, egészségügyi és szociális közhiteles nyilvántartásokhoz való kapcsolódás változatai, adatgyűjtési funkciók Az EKNy webes közzétételi környezete iránti követelmények meghatározása Stubenvoll Bt 10 / 141 Budapest, 2004 szeptember 30
A fentiekből következő, a hardver és szoftver architektúrával szemben támasztott igények és ezek konzekvenciái. II. Az adatmodell Adatmodellezési, adatbázis-tervezési ajánlás A meglevő egészségügyi és szociális közhiteles nyilvántartások adatmodellje Az EKNy rendszer javasolt közös adatmodellje Számszerűsített követelmények az adatbázissal és adatgyűjtő szolgáltatásaival szemben III. Az EKNy kialakítása A konkrét EKNy adatmodell figyelembevételével kialakított tervezési specifikáció és a műszaki-informatikai megvalósítással szemben támasztott követelmények Az EKNy adatbank-funkcióinak ismertetése Mennyiségi és teljesítmény-követelmények Az egészségügyi és szociális szektor közhiteles nyilvántartásai kezelésének egyedi követelményei Az EKNy webes közzétételi felület funkciói A rendszer architektúra platform-független specifikációja Az adatgyűjtés HW, SW és kommunikációs eszközeinek/csatornáinak kiépítési ajánlása A jövőbeni fejlesztésre vonatkozó ajánlások EKNy info-kommunikációs technológiai képzési terv 1.4 Verziókezelés Az EKNy Megvalósítási Tanulmány első, általános része (Az EKNY adatbank és adatgyűjtő szolgáltatásai és a webes közzétételi környezet) 2004 áprílis 13.-án előzetes kiadásra került. A projekt, valamint az eegészség Programm csatlakozó projektjei azóta elért eredményei az 1.0 kiadásban rögzített egyes megállapításokat néhány részletet tekintve túlhaladták, ezért a jelen, immár teljes verzió első részében is végeztünk módosításokat, valamint a dokumentum struktúráját is megváltoztattuk. Stubenvoll Bt 11 / 141 Budapest, 2004 szeptember 30
I. rész Az EKNy adatbank, szolgáltatásai és a webes közzétételi környezet Tanulmányunk első részében áttekintjük mindazon szempontokat, melyeket egy, a feledatkiírás feltételeinek megfelelő informatikai rendszer eleget kell tegyen. Ennek során tekintettel leszünk mindazon követelményekre, melyek az egészségügy és szociális szféra közhiteles nyilvántartásainak egységes kezelése és hozzáférése során felmerülhetnek. Vizsgálatainkat az előre nézés igényével végezzük. Mind a funkcionalitás, mind az architektura felvázolásánál egy, a szféra egészét lefedő és valamennyi szóbajöhető nyilvántartást felölelő rendszerben gondolkozunk és eltekintünk a jelenlegi hézagos és helyenként ellentmondásos jogi szabályozás, szervezeti kötöttségek és napi gyakorlat okozta korlátoktól. Célunk ezzel az, hogy az EKNy rendszer megvalósítása kellő bölcsességgel vegye figyelembe e szempontokat akkor is, ha a mai, konkrét helyzet kivánalmaiból következő rendszerleírás amelyet a III. részben ismertetünk ma még egy ennél egyszerűbb architekturájú, korlátozottabb funkcionalitású EKNy tervét írja le. Stubenvoll Bt 12 / 141 Budapest, 2004 szeptember 30
2 A rendszer tervezésének szempontjai Egy informatikai rendszer megtervezésénél célszerű a top-down megközelítés alkalmazása, melynek során először kívülről, a felhasználó szemszögéből nézve tekintjük a rendszert és annak minőségi jellemzőire, szakmai funkcióira, kezelésére és egyéb látható tulajdonságaira helyezzük a hangsúlyt. Csak miután ezeket tisztáztuk és rögzítettük, foglalkozunk a rendszer informatikai kérdéseivel, belső struktúrájával, melynek kialakítása és finomítása során sohasem veszítjük szem elől a korábban már rögzített igényeket. Az EKNy rendszer tervezése során ennek a logikának megfelelően először az általános minőségi és funkcionális igényeket, elvárásokat fogalmazzuk meg absztrakt szinten a 2. fejezetben, mely megállapításokat már a 3. fejezettől kezdve szem előtt tartunk. A 3. fejezet az EKNy adatbank szolgáltatásait, a 4. fejezet az adatgyűjtési szolgáltatásokat és az 5. fejezet az EKNy webes közzétételi környezete kívánt működését, funkcióit tekinti át, megfelelve az EKNy rendszer három, már röviden érintett funkcionális szintjének. Végül a 6. fejezetben az informatikai megvalósítás szemszögéből vesszük sorra megállapításainkat, lefordítjuk azokat a tervezési döntések nyelvére és mindezek összegzéseként felvázoljuk az EKNy rendszer megvalósításához javasolt még mindig logikai szintű hardver és szoftver architektúrát. Ebből a logikai architektúrából kiindulva, a konkrét és számszerű követelményeket figyelembe véve lépésenként fogunk azután eljutni a rendszer technikai specifikációjára, melyet a javasolt adatmodell megfogalmazását követéen ismertetünk. 2.1 Adatbiztonság A közhiteles nyilvántartások törvény által kimondott szabályozás alá tartoznak, tartalmuk az adott kérdésben perdöntő és megkérdőjelezhetetlen, így minőségüket és integritásukat a lehető legmagasabb szinten kell biztosítani. Hozzájárul ehhez, hogy az EKNy rendszerből lekérdezhető adatok olyan személyes adatokat tartalmaznak, melyekhez történő illetéktelen hozzáférés személyiségi jogokat sérthet és komoly visszaélési lehetőségekre is módot adhat, ezért szükséges kiemelt prioritással kezelni a rendszer és a kezelt adatok biztonságát. Az egészségügyi és szociális környezet közhiteles nyilvántartásaira vonatkozó jogi szabályozásokat az eegészség program 26. számú projektje, A közhiteles nyilvántartások jogi környezetének feltérképezése tárja fel, mely projekt megálapításait az EKNy rendszer tervezése során messzemenően figyelembe veszünk. Ennek megfelelően az adatbiztonság kérdését igen széles körűen értelmezzük és több szinten igyekszünk megvilágítani. A következőkben sorra vesszük az EKNy rendszerre alkalmazandó fontosabb szempontokat, hangsúlyozva, hogy a felsorolt intézkedések nem mindig sorolhatók egyértelműen egyik vagy másik csoporthoz, természetes, hogy a csoportok egymást átfedik. Stubenvoll Bt 13 / 141 Budapest, 2004 szeptember 30
2.1.1 A közhiteles adatok integritásának biztosítása Ide tartozik minden olyan tervezési megfontolás, funkció és ügyrendi intézkedés, amely azt a célt szolgálja, hogy az EKNy rendszer a lekérdezésekre minden esetben helyes választ adjon. Ezek 1. A primer adattárak és az EKNy rendszer közötti forgalom védelme Az adatforgalom titkosítása Az adatfrissítési forgalom naplózása Az EKNy rendszer bemenő portjainak hozzáférés elleni védelme Ezen intézkedésekkel biztosítjuk, hogy például a HBCS vagy a finanszírozási algoritmusok adatainak azekny adattárába történő felmásolása tükrözése során a másolat garantáltan pontos legyen, ne lehessen rosszindulatú beavatkozással a másolatba célzottan torzított adatokat felvinni. 2. A rendszeren belüli adatok változtatás elleni védelme Belső adattöbbszörözés (tükrözés) Az adatfrissítés naplózása A frissítési információ tárolása, a változtatás visszaforgathatósága 3. Az adatsérülések felderítésére szolgáló eszközök és eljárások Frissítés naplózása Az adatbázis belső karbantartó funkciói, konzisztencia-ellenőrzés A 2. és 3. pontban felsorolt védelmek a tudatos adattorzítás felderítésére szolgálnak, például ha egy kívülről betört felhasználónak mégis sikerülne egy helyben tárolt adatot megváltoztatni például egy orvos jogosultsági körét kibővíteni, akkor ez a lépés rövid idő alatt napfényre kerüljön. 4. Az adatsérülések helyreállításának eszközei és eljárásai Az adattár tartalmának tükör-adattárból való helyreállítása Az adatváltoztatás visszaforgathatósága frissítési információból Az adattartalom szelektív, ellenőrzött módosítása Amennyiben kiderült, hogy az EKNy rendszer adattartalma megsérült, ezen a sérülés jellegének és mértékének függvényében megválasztott funkciók segítségével ismét helyreállítható a közhiteles adattár integritása. 2.1.2 Az adatok illetéktelen hozzáférés elleni védelme Ebbe a csoportba azok az intézkedések és informatikai eljárások tartoznak, melyek segítségével biztosítható, hogy csak a törvény által megszabott jogosultsággal rendelkező kérelmező juthasson hozzá a kért EKNy adatokhoz. Stubenvoll Bt 14 / 141 Budapest, 2004 szeptember 30
1. Felhasználói jogosultságok kezelése Jogosultsági rendszer kialakítása és naplózása Megfelelő jogosultság-ellenőrzés a kérelmezői felületen Mivel az EKNy rendszer webes felületén keresztül minden közhiteles adat elérhető, a felhasználói jogosultságokat szükséges központilag, egységes rendszerben kezelni és ellenőrizni. Vonatkozik ez az olyan jogosultságokra illetve lekérdezésekre is, mint pl. a TAJ adatokra irányuló kérelmezés, ahol az OEP mint adatgazda gondoskodik a jogosultságok ellenőrzéséről és az EKNy rendszer csak az ehhez szükséges felhasználói adatokat továbbítja az OEP felé, majd a lekérdezés eredményét az OEP-től a felhasználónak. 2. Hozzáférések naplózása, illetve monitorozása Teljes ill. szelektív naplózás ill. monitorozás A naplók automatikus illetve szelektív kiértékelése, riasztási rendszer alkalmazása Az EKNy rendszer egyik igen fontos üzemviteli feladata a folyamatos monitorozás, illetve a hozzáférési naplók kiértékelése, az anomáliák, gyanus hozzáférések, hozzáférési kísérletek felderítése. Ennek a tevékenységnek kellően gondos ellátása döntő fontosságú a közhiteles adatok védelmének szempontjából és az ESKI számára lényeges központi funkciót definiál az egészségügyi és szociális szektor közhiteles adatai minőségvédelmében. 3. Az Interneten keresztüli hozzáférés, illetve csatlakozás védelme Titkosított csatorna használata (SSL) Adatok védelme tűzfal segítségével Betörési kísérletek naplózása Az SSL-technika teljes mértékben polgárjogot nyert az elmult években az Internetes kommunikáció adatvédelmében. Használata feltétlenül célszerű a közhiteles adatok illetéktelenek általi hozzáférésének megakadályozására. 2.2 Rendelkezésre állás Az EKNy rendszer célkitűzéseiből következik, hogy az év 365 napján, napi 24 órában fogadnia kell a lekérdezéseket. A rendszerrel szemben tolerálható működési kieséseket melyet maximális eseti és összes évi kiesés formájában, perc illetve perc/év egységben szokás specifikálni az EKNy adatbázis kialakításánál fogjuk rögzíteni. Ennek biztosítására számos tervezési eljárás, műszaki megoldás és az üzemvitelben alkalmazandó szabály játszik szerepet: Stubenvoll Bt 15 / 141 Budapest, 2004 szeptember 30
1. Az informatikai rendszer fizikai egységének védelme mind emberi, mind természeti fenyegetéssel szemben Az EKNy rendszer berendezéseinek, adatcsatlakozásainak stb. megfelelő kialakítása és elhelyezése Az EKNy rendszer fizikai felügyelete Feltétlenül javasoljuk, hogy az ESKI az EKNy rendszert megfelelően védett és felügyelt épületben illetve helyiségekben üzemeltesse. 2. Rendszertervezési- és kivitelezési megfontolások Szünetmentes üzemeltetési környezet biztosítása Redundáns hardver- és szoftver-architektúra alkalmazása Hatékony rendszerhiba-jelzési és riasztási rendszer bevezetése Megfelelő minőségű elemek és berendezések alkalmazása 3. Hatékony karbantartás és hibajavítás elősegítése Ügyeleti rendszerben dolgozó karbantartó szolgálat megszervezése A gyors szoftver-hibajavítás szerződéses biztosítása Hardver-javítás és szoftver-update a gyártó részéről való szerződéses biztosítása Az EKNy rendszer programrendszere fejlesztői know-how hosszú távú szerződéses biztosítása A fenti, 2. és 3. pont olyan, többségében szervezési és szerződési pontot vet fel, melyeket az ESKI az EKNy rendszer felállítása során szem előtt kell tartson az üzemvitel biztonsága és hosszútávú biztosítása érdekében. 4. Eljárások kidolgozása, melyek lehetővé teszik a meghibásodott vagy javítás alatt álló rendszer korlátozott működését Ez részben az EKNy rendszer tervezésével, architekturájával szemben fogalmaz meg egy speciális elvárást, másrészt viszont az üzemeltetési eljárási rend kialakításakor kell gondoskodni a megfelelő procedúrák kidolgozásáról. 5. Katasztrófa-kezelés A legnagyobb tervezett katasztrófa definiálása Katasztrófa-terv készítése, ennek keretében megfelelő adat-helyreállítási, műszaki és intézkedési terv kidolgozása Arra az esetre, ha bekövetkeznék egy, az EKNy rendszert károsító katasztrófa, előre gondoskodni kell a kár lehetőség szerinti minimalizálásáról. Az ESKI a katasztófa-kezelés Stubenvoll Bt 16 / 141 Budapest, 2004 szeptember 30
szintjét megfelelő valószínűségi-gazdaságossági számítások alapján kell majd meghatározza, amelynek megfelelően kialakíthatók a megelőző intézkedések valamint a katasztrófa esetére készített intézkedési tervek. 2.3 Teljesítmény Az EKNy rendszer az egész országra kiterjedően, központilag válaszol meg minden, a közhiteles egészségügyi adatokra vonatkozó kérést, akár szolgálati, akár állampolgári eredetű legyen is az. Ebből jelentős mennyiségű adatforgalom származik, melynek megfelelően gyors lekezeléséről gondoskodni kell, figyelembe véve a használat prognosztizálható növekedését is. A tervezésnél figyelembe veendő számszerű elvárásokat az adatmodell ismertetésénél tárgyaljuk.. Ebben a pontban az igény természeténél fogva nagyrészt informatikai jellegű követelmények fogalmazódnak meg az EKNy rendszerrel szemben, melyeket részletesen a 6. fejezetben tárgyalunk. 1. Statikus informatikai jellemzők Háttértároló kapacitás Megfelelően méretezett adatcsatornák Könnyű, akár üzem közben is elvégezhető kapacitásbővítés 2. Dinamikus informatikai jellemzők A feldolgozás és adatkezelés sebessége Lekérdezési válaszidő Keresések végrehajtásánál elfogadható válaszidő biztosítása 3. Az EKNy rendszer reagálása túlterhelési helyzetekre A túlterhelési helyzet jelzése, legyen lehetőség célzott hozzáférési korlátozással a legfontosabb szolgáltatások fenntartására Túlterhelés esetén nem léphet fel sem hibás működés, sem adathiba A túlterhelés elmúltával a normális működés álljon helyre, a túlterhelésnek ne legyen maradó hatása Stubenvoll Bt 17 / 141 Budapest, 2004 szeptember 30
3 Adatbank szolgáltatások Annak érdekében, hogy az EKNy rendszer az előző fejezetben rögzített jellemzők biztosításával el tudja látni a 4. és 5. fejezetben ismertetendő funkcionális feladatokat, különféle szolgáltatásokat és segéd-funkciókat kell megvalósítson. Jelen fejezet ezeket tekinti át. Az elsődleges adatbanki szolgáltatások mint a különféle mélységű és kombinációjú keresések, csoportos lekérdezések, szűrések és leválogatások, valamint a különböző közhiteles nyilvántartásokban való együttes keresés lehetőségének megvalósítása, az 5.1 pontban tárgyalt Üzleti logiká-ban jelennek meg, melyeknek az EKNy rendszerben való konkrét megvalósítását a párhuzamosan futó A létező közhiteles nyilvántartások felmérése (25. számú projekt) eredményei felhasználásával elkészülő, a konkrét nyilvántartások adatkezelésével foglalkozó fejezetben ismertetjük. 3.1 Naplózás 3.1.1 Célja A megváltoztatott adatok visszakereshetősége, és az esetleges illetéktelen behatolók és behatolási szándékukról tanúbizonyságot tevők megfigyelése. Ennek érdekében a naplózás az alábbi eseményeket rögzíti: Adatmódosulások Gyanús felhasználók tevékenységei Bizalmas területek hozzáférései A naplózás megtervezése szempontjából az EKNy rendszernek két jellemzőjét kell kiemelnünk: 1. A rendszerben tárolt adatok speciálisan két kategóriát alkotnak: viszonylag kis hányadukat a rendszer maga tartja karban (ezek pontos körét A létező közhiteles nyilvántartások felmérése projekt fogja definiálni, de várhatóan ide tartozik majd például az orvos- vagy a gyógyszerésztörzs), vagyis a primer adatváltozásukat ebben a rendszerben kell lekezelni, melyet a 4.1 pontban tárgyaluk. Az EKNy adatainak nagyobb hányadát ugyanakkor a rendszer vagy csak másolatban tárolja, vagy csak a hozzájuk való hozzáférést biztosítja (lásd a 4.2-4.6 pontokat). Ebből az adatmódosulások naplózása szempontjából az következik, hogy igen jól Stubenvoll Bt 18 / 141 Budapest, 2004 szeptember 30
körülhatárolt azon adatok köre, melyek egyáltalán megváltozhatnak, kivéve az igen jól definiálható tüközési, adatmásolási eseményeket. 2. Hasonlóan az adatokhoz, az adathozzáférésre jogosultak köre is markánsan két csoportot alkot. Egyrészt megjelennek a tömeges, de csak a nem érzékeny illetve saját adatok lekérdezésére jogosult állampolgári igények, másrészt viszont az érzékeny adatokra irányuló lekérdezések mindig igen szigorúan definiált, előre rögzített irányokból jelentkeznek, magas jpogosultsági szintű felhasználók részéről. Ezek fényében minden egyes adatkörre illetve hozzáférési csoportra célszerű a naplózási paraméterek egyedi megfontolása, amelyet az EKNy rendszer üzemeltetői felelőse kell rögzítsen. 3.1.2 Adatmódosulások Az adatok változását az EKNy rendszerben feltétlenül szemmel kell tartani. Ez olyan tevékenység, amit mindig végezni kell és soha ki nem kapcsolható. Ezáltal biztosítható, hogy ha esetleg hibásan érkező adatok elrontják az adatbázis tartalmát, akkor azok könnyen visszakereshetőek lesznek, és az esetlegesen okozott hiba javíthatóvá válik. Ha szándékos rongálás történik, akkor beazonosítható a tevékenységet elvégző. Az adatmódosulások naplózása adatbázis triggerek és History táblák segítségével javasolt. Tekintettel arra, hogy az EKNy rendszerben a tömeges hozzáférés kizárólag olvasásra engedélyezett és csak a saját kezelésben levő illetve a tükrözött adattár (lásd a 4.1. és 4.2 pontot) tartalmát frissítjük, különösen fontos az adatmódosítási tevékenységek nyomon követése. 3.1.3 Gyanús felhasználók tevékenységei Előfordulhat, hogy egyes felhasználók hozzájutottak olyan adatokhoz, melyekkel visszaélhetnek, és ezt a visszaélést meg is kísérlik. Kell lennie a rendszerben lehetőségnek arra, hogy az egyes gyanús személyeket megfigyelés alá helyezzék. Esetleg teljes csoportokat, ha kérdéses, hogy az adott csoportból ki követte el a visszaélést. Mivel az EKNy rendszert nagyon sok felhasználó használhatja, az ilyen naplózások igen költséges tevékenységek lehetnek (nagy tároló és akár nagy munkaidő kapacitást is igényelhetnek). Tehát a szelektív naplózási tevékenységnek feltétlenül konfigurálhatónak kell lennie a Webes interfészen keresztül, és a használatát csak magas jogosultsági szinttel rendelkező felhasználók kezdeményezhetik. A szelektív naplózás megvalósítása magasabb szintű feladat, a szoftver struktúrájában az üzleti logikának kell ezt a feladatot elvégezni. Gondoskodni kell az adatbázis oldalon az Stubenvoll Bt 19 / 141 Budapest, 2004 szeptember 30
adatok eltárolásához szükséges, megfelelő táblaszerkezetekről, ahonnan a Webes interfészen keresztül a naplózási adatokat is le kell tudni kérdezni. 3.1.4 Bizalmas területek hozzáférései A közhiteles nyilvántartások egy része az ESKI döntése, vagy a vonatkozó törvények előírásai alapján, melyekre vonatkozóan a párhuzamosan futó A közhiteles nyilvántartások jogi környezetének feltérképezése (26. számú projekt) fog útmutatást adni igényelhet kiemelt védettséget, az ilyen területek hozzáféréseit vagy az erre irányuló hozzáférési kísérleteket minden esetben naplózni kell, függetlenül a felhasználótól. Ez a naplózási feladat igen hasonló az előző pontban említetthez és ugyanazt a műszaki felkészültséget igényli, tehát ennek a tevékenységnek feltétlenül konfigurálhatónak kell lennie a Webes interfészen keresztül, és csak magas jogosultsági szinttel rendelkező felhasználok használhatják. 3.1.5 A naplók kiértékelése Minden adattömeg annyit ér, amennyit értelmezni lehet belőle ezen elv alapján célszerű a naplózás eredményeinek gépi úton való, statisztikai módszerekkel történő rendszeres kiértékelését megfelelő programokkal elvégezni, illetve a rendszer üzemeltetése során erről ügyrendi intézkedésekkel gondoskodni. Ezt a tevkenységet az ESKI rendeli el, felelőse és fő végrehajtója az üzemeltetéssel megbízott csoport. A kiértékelésnek alapvetően két célja van: 1. Biztonsági események felismerése, vagyis az EKNy adatokhoz való jogosulatlan hozzáférés ill. annak kísérlete, sikertelen hozzáférési kísérletek gyanus halmozódása, stb. Az EKNy projekt megvalósítása során célszerű lesz az ilyen jellegű események felismerésére célzott lépéseket tenni, melyhez ajánlott az informatikai biztonságban jártas szakértő tanácsát figyelembe venni. 2. Látogatottsági statisztikák készítése, amely elsősorban az ESKI, továbbá az adatgazdák számára nyújt hasznos információt az adattartalmak iránti érdeklődés, és ezen keresztül az EKNy rendszer informatikailag szűk keresztmetszete iránt. Stubenvoll Bt 20 / 141 Budapest, 2004 szeptember 30
3.2 Archiválás 3.2.1 Az adattár mentése A saját kezelésben tárolt adattárak (lásd a 4.1. pontot) archiválását bizonyos időközönként, a visszaállíthatóság érdekében el kell végezni. Ezt a tevékenységet fontos szabályozni, mikor, mit és hogyan kell archiválni. Tanácsos megkülönböztetni a kis és nagy mentéseket. A nagy mentés a teljes adatterületet eltárolja, ilyen mentéseket ritkábban kell elvégezni, hiszen nagy számú redundáns adat kerülne tárolásra. A kis mentéseknél, az adatmódosulási naplók alapján kisebb adatmentési csomagokat össze lehet állítani. Adatbázisok archiválására az elmúlt évtizedekben, nagy tapasztalat alapján bevált eljárásrendek alakultak ki, melyeket érdemes implementálni. Az implementálás az üzemeltetéssel megbízott csoport feladata. Foglalkozni kell az archivált adatok tárolásának biztonsági kérdéseivel is. A lementett adatokat jól elzárt, behatolástól és külső behatásoktól védett helyen kell tárolni, azokhoz csak a megfelelő jogokkal rendelkező személy férhet hozzá, de ő is csak indokolt esetben. Az ezzel kapcsolatos eljárás rendjét az ESKI rendeli el, felelőse és fő kidolgozója az üzemeltetéssel megbízott csoport. 3.2.2 Az adattár visszaállítása Minden intézkedés ellenére, melyeket az adatok biztonsága érdekében megvalósítunk, bekövetkezhetnek adathibák. Ezeknek a hibáknak, esetleg szándékos rongálásoknak a következményeit az adatok visszaállításával lehet megoldani. A visszaállításnak több lépése, kategóriája van. Az, hogy melyik visszaállítási lépést kell választani, attól függ, hogy milyen formájú, mértékű az adatok rongálódása. Az erről szóló döntést az adott helyzetben kell meghozza az üzemeltetéssel megbízott csoport ügyeletese, nagyobb káresemény gyanuja esetén annak vezetője. Ez a kérdés a katasztrófa-kezelésben is szabályozott kell legyen (lásd 3.5 pont). 1. Tükör szerver alapján A tükör szerver alapján, ahol minden adat másolásra került, az adatok egyértelműen visszaállíthatók. A megoldás nem elégséges olyankor, amikor az adatok integritása megsérült, de ez csak a tükrözést követő stádiumban derül ki. Ilyenkor a visszaállításhoz más módszert kell választani. Stubenvoll Bt 21 / 141 Budapest, 2004 szeptember 30
2. Napló fájlok alapján Ha az adatok sérülésének helye egyértelműen behatárolható, akkor az adatmódosulásról vezetett naplófájl alapján beazonosítható a kiváltó ok és a sérülés formája is. Ezenkívül az is azonosítható, hogy a betöltött adatokat meddig kell visszagörgetni. Ekkor a napló fájlokon elvégzett negatív feldolgozás eredményeként (azaz az adatok visszagörgetésével, ami a beszúrásból törlést, törlésből beszúrást és módosulás esetén a korábbi állapotra való adat visszaállást eredményez), egy korábbi állapot nyerhető vissza. Ezen a korábbi állapoton a szinkronsor ismételt lefuttatásával újra előállítható az aktuális adatbázis tartalom. Abban az esetben, ha a szinkronsor tartalmazza a hibát, aminek következtében az adat integritása megsérült, a szinkronsor újra futtatása a hibás állapot ismételt előállítását eredményezi. Ilyenkor a szinkronizálásra kerülő, kívülről kapott adat extraktumokat kell újra betölteni. Ha az extraktum hordozza magában a hiba okát, akkor a kapcsolódó szervezetnek kell küldeni egy adatismétlési kérelmet, és az érintett extraktum kivételével minden egyéb adatot be kell tölteni, majd a megismételt, most már hibátlan extraktum is rátölthető. 3. Mentések alapján Ha olyan hiba következett be, ami miatt a napló fájlok alapján történő visszaléptetés már költségesebb lenne, mint az archív fájlokból történő visszaállítás, akkor teljes visszaállítást kell végezni. Ekkor az archív állományok hozzáféréséhez jogosult személy betölti a legutolsó nagy mentést, majd a nagy mentés készítése óta előállított kis mentéseket is. Ezek után, a kis mentés óta készült szinkron sorokat újrafuttatja. Abban az esetben, ha a szinkronsor tartalmazza a hibát, akkor az előző pontban leírtak alapján kell itt is eljárni és lépésenként visszamenni az utolsó, még hibátlan állapotig. 3.3 Hozzáférési jogosultságok Minden informatikai rendszerben alapvetően jelenlévő funkció a hozzáférési jogosultságok kezelése, vagyis a rendszerhez, az abban tárolt adatokhoz való hozzáférés személyre szóló korlátozása. Mivel nem célunk közismert megoldások részleteibe itt belemenni, ezért csak összefoglaljuk a jogosultság-kezelésnek az EKNy rendszer biztonságos üzemeltetésével kapcsolatosan felmerülő legfontosabb jellemzőit. Ennek tárgyalásakor szükséges különbséget tenni az informatikai rendszer szintjén és az alkalmazás szintjén végzett jogosultság-ellenőrzés között, melyeket külön pontban tárgyalunk. Stubenvoll Bt 22 / 141 Budapest, 2004 szeptember 30
3.3.1 Jogosultságok az informatikai rendszer szintjén Az informatikai rendszer szintjén a jogosultságokat az elemi jogosultságoknak az egyes felhasználókhoz való hozzárendelésével kezeljük. Mivel a rendszer igen nagyszámú elemi jogosultsággal dolgozik, ezek csoportjaiból képzett szerepköröket rendelünk az egyes használói csoportokhoz, mely csoportokhoz azután az egyes felhasználók tartoznak: (Forrás: http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html) Az EKNy rendszerben a jogosultságok szempontjából négy nagy szerepkört definiálhatunk (melyeken belül a gyakorlat és a célszerűség követelményei szerint további alcsoportok képezhetők): 1. Rendszerfelügyelet Ez a kis létszámú (3-5 fő), szakmai csoport kezeli a többi csoport jogosultságait és felelős azért, hogy mindenki a számára szükséges és még éppen elégséges jogosultsággal rendelkezzék. Kiváltságai közé tartozik többek között a szelektív naplózás futtatása, a felhasználók biztonsági ellenőrzése és annak biztosítása is, hogy az egyébként kiterjedt lehetőségekkel rendelkező karbantartók megbízhatósága megfelelő legyen. A rendszerfelügyeletet ellátó csoport az EKNy rendszer felelős üzemeltetője, ennek megfelelően célszerű, ha a csoportot és annak feladatait az ESKI az ESZCSM jóváhagyásával jelöli ki. 2. Karbantartás A rendszer hardver és szoftver elemeit ellenőrző, karbantartó szakemberek, akik gyakorlatilag korlátlan lehetőségekkel bírnak, és akik felelőssége a rendszer rendelkezésre állásának biztosítása. A szoftver új verzióinak betöltésére, a rendszer teljesítményének illetve túlterhelésének mérésére ugyancsak ez a csoport jogosult. Stubenvoll Bt 23 / 141 Budapest, 2004 szeptember 30
3. Alkalmazás-üzemeltető Az EKNy rendszer napi üzemeltetési feladatairól gondoskodnak, végrehajtják és ellenőrzik a frissítéseket, bármilyen, a rendszer szolgáltatásaival kapcsolatos probléma esetén első szintű hibaelemzést végeznek és szükség esetén segítséget nyújtanak a felhasználóknak. 4. Kérelmező A webes felületen keresztül adatlekérdezési igénnyel jelentkező, a közhiteles nyilvántartások tartalma iránt érdeklődő személyek, akiknek csak adat-olvasási jogosultságuk van. A nyilvántartásokhoz való hozzáférés tekintetében jogaikat az adott nyilvántartáshoz kapcsolódó törvényi szabályozás tovább korlátozza, ennek ellenőrzése az alkalmazás szintjén történik meg. 3.3.2 Alkalmazás-szintű jogosultságok A közhiteles nyilvántartásokhoz való hozzáférést minden egyes nyilvántartás esetében törvény korlátozza. Ez a szabályozás többnyire szigorúan előírja a kérelmező azonosítását, mert bizonyos adatok csak bizonyos kérelmezők számára adhatók ki, mások számára az adatok vagy nem férhetők hozzá, vagy csak igen korlátozott adattartalom engedélyezett. A vonatkozó törvények feldolgozását A közhiteles nyilvántartások jogi környezetének feltérképezése (26. számú projekt) végzi, eredményei felhasználásra kerülnek az EKNy rendszer számára javasolt hozzáférési rendszer kidolgozásánál, amelyet a konkrét adatnyilvántartásokat tárgyaló későbbi fejezetek ismertetnek. A korlátozás a gyakorlatban abban a formában jelenik meg, hogy az egyszerű állampolgár megtekintheti a rá vonatkozó adatok nagy részét csaknem minden nyilvántartásban, egyes, arra kijelölt intézmények feljogosított képviselői viszont egy-egy szigorúan körülhatárolt adattárból széles körű információkat lekérdezhetnek. Ennek a hozzáférési korlátozásnak a kezelése azt igényli, hogy az állampolgár, mint kérelmező bejelentkezésekor megadjon olyan adatokat, melyek ellenőrzése csak az adattár tartalmával való célzott összevetéssel végezhető el, vagyis a jogosultság ellenőrzése nem a webes felületen, hanem az adatbázis kezelésének szintjén történik meg, másrészt egy intézményi kérelmező jelentkezésekor nem elegendő a kérelmező személyét azonosítani, hanem ellenőrizni kell azt is, hogy mely intézmény informatikai rendszeréből, esetleg mely programból csatlakozik, ami hálózat-szintű azonosítást és az engedélyezett partner-intézmények informatikai rendszerparamétereinek nyilvántartását is szükségessé teszi. Stubenvoll Bt 24 / 141 Budapest, 2004 szeptember 30
3.3.3 Az adatlekérdezés jogosultságának vizsgálata Egy adatlekérdezési jelentkezés jogosságának elbírálása tehát voltaképpen mind a két jogosultsági szint bevonásával történik: először az informatikai rendszer szintjén azonosításra kerül, hogy az adott kérelmező jogosult-e a rendszerrel kapcsolatba lépni, majd a megszólított alkalmazás szintjén a törvényben szabályozott jogosultság ellenőrzése történik meg. A jogosultság ellenőrzését azonban lehetőleg úgy kell megvalósítani, hogy ez a kettősség a kérelmező számára többnyire ne legyen érzékelhető. A 3.4. fejezetben ismertetett különféle adatkezelések közül egyesek mindkettőt, mások csak az egyik szintet igénylik, az adott nyilvántartás igényeihez igazítva. A jogosultsági rendszer iránti konkrét igények megfogalmazása az egyes nyilvántartások ismertetése kapcsán történik meg. 3.3.4 Keresési jogosultság Külön felhívjuk a figyelmet a keresési jogosultsáág szabályozásának kérdésére, amely a ugyancsak az alkalmazás szintjén értelmezett. Míg az adatelemek szintjén csak az írási és olvasási jogosultság két nagy csoportját kell megkülönböztetnünk (ahol a törlés és bővítés ugyancsak az írás egy-egy speciális esete), addig az alkalmazás szintjén az olvasásnak több, lényegesen eltérő szolgáltatást nyújtó változata van, melyeket az egyes adatbázisok kezelésének megtervezésénél figyelembe kell venni. Egy adatelem célzott olvasása esetén tudnunk kell az adatelem egyedi azonositóját (pl. a pecsétszám alapján megkapjuk az orvos nevét), azonban ha ilyen információnk nincs, keresési eljáráshoz kell folyamodni. A keresés a klasszikus adatfeldolgozásban annak engedélyezését igényli, hogy egy-egy jellemző minden lehetséges értékére, vagy egy behatárolt értéktartományára valamennyi adatelemet kiolvassuk. Nyilvánvaló, hogy az alkalmazás szintjén megfogalmazva ez szükségessé teszi valamennyi adatelem olvasását, vagyis lényegesen erősebb jogosultságot igényel. A most leírt keresés az EKNy rendszerben lényeges szerepet játszik, és a létező nyilvántartások ismertetésekor, illetve az EKNy megvalósításakor implementálni kell. A teljesség érdekében megemlítjük a szabad formátumú, az internetes keresőgépek fejlődésével elterjedt keresés lehetőségét. Ilyenkor egy vagy több kulcsszó vagyis megadott adattartalom előfordulását keresi meg a kereső program az adatbázisban, melyet nem kötött adatstruktúrában, hanem szabad szövegformátumban kezel. Mivel a közhiteles nyilvántartások kötött adatformátumúak, és hozzáférésüket a jog pontosan szabályozza, ezért ez a lehetőség várhatóan csak a preklasszikus közhiteles nyilvántartások esetén (pl. a kódrendszereknél) lesz alkalmazható. Stubenvoll Bt 25 / 141 Budapest, 2004 szeptember 30
3.4 Az adatforgalom titkosítása Az EKNy rendszerbe, vagy abból kifelé irányuló forgalomra meg kell valósítani az adatok titkosítottan történő továbbítását. Mivel a nyilvános hálózatokon az adatcsatornák lehallgatás ellen nem megfelelően védettek, ezért az illetéktelen személyektől fontos megvédeni a cserélt információkat. Az EKNy rendszer három relációban is folytat külső adatforgalmat, ahol érzékeny adatok mozgatása történik: 1. A tükrözött adatbázis frissítésekor a primer rendszerből küldött adatok mozgatásánál, 2. Az API interfészen keresztüli hozzáférés esetén a kérelmező adatait a jogosultság ellenőrzése céljából le kell küldeni a primer adatbázisnak, amely válaszként felküldi a kért adatokat. 3. A kérelmező és az EKNy rendszer közötti adatforgalom a legsérülékenyebb, hiszen minden esetben a nyitott Interneten keresztül történik. Ezekre az adatmozgásokra feltétlenül adattitkosítást kell alkalmazni. Az utóbbi években széles körben elterjedt, 128-bites Secure Socket Layer (SSL) módszer igen hatékony, széles körben bevált, ezért célszerű az EKNy rendszerben is ezt alkalmazni. 3.5 Katasztrófa-kezelés Míg e fejezet eddigi pontjaiban azokkal a feladatokkal foglalkoztunk, amelyek a rendszer hibátlan működésének fenntartását vannak hivatva elősegíteni, addig a katasztrófa-kezelés a nemzetközi irodalomban szokásos szóhasználattal Disaster Recovery, tehát inkább a katasztrófából való kilábalás azokkal a tevékenységekkel foglalkozik, melyeket azért kell elvégezni egy esetleges katasztrófa bekövetkezte előtt, hogy ha a katasztrófa mégis bekövetkeznék, annak káros kihatásai minél kisebbek legyenek és minél gyorsabban helyre lehessen állítani a rendszer normális működését. A témának bőséges irodalma van és elsősorban különböző a szinteken megvalósítandó létesítési, ügyrendi és üzemeltetési, és ezek között informatikai feladatokkal is foglalkozik. Az alábbiakban röviden felsoroljuk a disaster recovery körébe tartozó legfontosabb tevékenységeket. Az EKNy rendszer kialakításakor illetve üzemvitelének megszervezésekor ezek köréből kell azokat és olyan szinten bevezetni, melyek a konkrét rendszer feladata, az adatok értéke és pótolhatatlansága illetve az üzemkiesés által okozott kár mérlegelése alapján a legmegfelelőbbek és gazdaságilag indokolhatóak. Erre célszerű egy célzott elemzés kidolgozása. Stubenvoll Bt 26 / 141 Budapest, 2004 szeptember 30