Cỏc cấu trỳc tham số trong Trust Case cú thể được phỏt triển từ việc tham khảo một danh sỏch đầy đủ cỏc mẫu tham số. Một mẫu tham số là sự tổng quỏt cỏc trạng thỏi bắt gặp thường xuyờn của việc lựa chọn cỏc giả thuyết hỗ trợ và xếp chỳng thành một tham số. Khi đó xỏc định được, cỏc mẫu tham số như vậy cú thể được tỏi sử dụng trong cỏc ngữ cảnh khỏc.
Trong khi phỏt triển cỏc Trust Case, chỳng ta đó xỏc định được một lượng cỏc mẫu nhất định. Một số mẫu trong số đú theo cỏc lược đồ tham số tổng quỏt từ tài liệu, trong khi số cũn lại theo nhiều lĩnh vực cụ thể. Dưới đõy là một số vớ dụ của cỏc mẫu tham sốđược trỡnh bày sử dụng cỏc miờu tả và minh hoạ chớnh thức bởi cỏc phõn đoạn của một Trust Case trong hệ thống dịch vụ chăm súc sức khoẻ (e - health).
Tham số từ phõn tớch rủi ro.
Mụ hỡnh này dựa vào việc xỏc định và giảm thiểu tất cả cỏc rủi ro khụng thể chấp nhận được mà cú thể xảy ra trong một ngữ cảnh cụ thể.
Cỏc giả thuyết (Premise):
1. Hệ thống O được thực thi trong mụi trường E. 2. U là một người dựng của O.
3. Phõn tớch rủi ro của hệ thống O trong mụi trường E xỏc định được một tập R cỏc rủi ro cú khả năng ảnh hưởng tới người dựng U.
4. Việc phõn tớch rủi ro là thớch hợp (adequate).
5. Tất cả cỏc rủi ro từ R được phõn tớch và nếu được phõn loại riờng biệt khụng thể chấp nhận, được giảm thiểu trong một mức độ cú thể chứng minh được. Kết luận (Conclusion):
Hệ thống O trong mụi trường E là đỏng tin cậy cho người dựng U.
Bằng chứng (Warrant): người dựng U cho rằng hệ thống O trong mụi trường E là đỏng tin cậy nếu tất cả cỏc rủi ro khụng thể chấp nhận được xỏc định cú khả năng
ảnh hưởng đến người dựng U được giảm thiểu. Việc quản trị rủi ro thớch hợp cung cấp toàn bộ cỏc rủi ro cú liờn quan và sự giảm thiểu rủi ro thoảđỏng hỗ trợ rủi ro cú thể chấp nhận bởi người dựng U. Do đú, tớnh chất đỏng tin cậy của hệ thống O đối với người dựng U được xỏc minh hợp lý.
Vớ dụ: sự duy trỡ an toàn của bệnh nhõn yờu cầu giảm hai rủi ro khụng thể chấp nhận như trong hỡnh 17 dưới đõy. Như vậy cỏc rủi ro mức cao được tiếp tục phõn tớch đối với cỏc nguyờn nhõn của nú.
Hỡnh 17: Tham số từ việc phõn tich rủi ro Lập luận từ sự phõn tớch.
Mụ hỡnh này đỏnh địa chỉ tỡnh huống khi cỏc tớnh chất phức tạp của một hệ thống được lập luận. Như cỏc tớnh chất phức tạp cần được phõn tớch thành cỏc tớnh chất đơn giản hơn, sự phõn tớch cú thể theo tớnh đệ qui đến cỏc cấp đơn vị tớnh mà cú thể đo được và xỏc minh được trược tiếp.
Giả thuyết: 1. Đối tượng O cú tớnh chất Q1. 2. Đối tượng O cú tớnh chất Q2. Kết luận: Đối tượng O cú tớnh chất Q. Bằng chứng: việc sở hữu cỏc tớnh chất Q1 và Q2 bởi O gần như tương đương với việc cú tớnh chất Q bởi O. Do đú, O cú tớnh chất Q là đỳng.
Đối với nhiều tham số thường hữu dụng để tăng cường việc xỏc minh của kết luận bằng việc cung cấp một số cỏc tham số độc lập mà dựa trờn cỏc giả thuyết và lập luận khỏc nhau. Mụ hỡnh này phự hợp với cỏc tham số kiểu hội tụ.
Giả thuyết:
1. Tham số A1 hỗ trợ thuộc tớnh Q của đối tượng O. 2. Tham số A2 hỗ trợ thuộc tớnh Q của đối tượng O Kết luận: đối tượng O cú thuộc tớnh Q
Chứng minh: chứng nhận A1 và A2 là độc lập lẫn nhau
Vớ dụ: một thiết bị y tếđược tớch hợp trong một hệ thống dịch vụ chăm súc sức khoẻ cú thểđược phõn tớch rừ ràng độ tin cậy của nú
Lập luận từ quan điểm chuyờn gia.
Trong nhiều trường hợp, cỏc dẫn chứng cú giỏ trị yờu cầu giải thớch hoặc một vài phõn tớch bổ sung sẽđược thực hiện. Cỏc ý kiến của một chuyờn gia trong một lĩnh vực nhất định cú thểđược sử dụng như một giả thuyết trong lập luận.
Giả thuyết
1. Người E là chuyờn gia trong lĩnh vực D. 2. E khẳng định A là đỳng.
3. A là thuộc về D Kết luận: A
Bằng chứng: Khẳng định liờn quan đến D, được đưa ra bởi một chuyờn gia trong lĩnh vực này là đỳng lý lẽ.
Trờn đõy đó trỡnh bày cỏc khỏi niệm và một phần của Trust – IT Framework: mụ hỡnh lập luận và cỏc mẫu lập luận. Mụ hỡnh lập luận Trust – IT đó dựa trờn mụ hỡnh
Toulmin và được sử dụng trong phỏt triển cỏc cấu trỳc lập luận, được gọi là cỏc Trust case. Cỏc Trust case mở rộng khỏi niệm trong cỏc trường hợp an toàn như một biện phỏp mà việc ỏp dụng chỳng khụng bị hạn chếđối với sự thể hiện tớnh an toàn và cũng khụng bị giới hạn đối với cỏc mỏy tớnh và phần mềm. Một Trust case cú thể biểu diễn một lập luận hỗ trợ cho cỏc quyết định về nhiều khớa cạnh khỏc nhau của tớnh đỏng tin cậy. Phỏt triển Trust case được hỗ trợ bởi một cụng cụ phần mềm chuyờn dụng gọi là Trust Case Toolbox (TCT) [10]. TCT là một ứng dụng hay trờn Internet, nú hỗ trợ việc chia sẻ tất cả cỏc dữ liệu Trust Case qua mạng và cung cấp độ tương tỏc cao trong việc chỉnh sửa Trust Case. Cụng cụ này cũng hỗ trợđỏnh giỏ cỏc Trust case.
4.5.4. Nghiờn cứu kỹ thuật và phương phỏp ứng dụng
Nhưđó được trỡnh bày ở cỏc phần trờn, cỏc dịch vụ e – health gắn liền với nhiều rủi ro đến sự an toàn và bớ mật của bệnh nhõn, mà làm phỏt sinh mối quan tõm về sự tin cậy của họ. Sự tin cậy của cỏc dịch vụ e – health đó trở thành một vấn đề đỏng quan tõm với những khớa cạnh bảo mật, an toàn và an ninh. Việc kết hợp Trust – IT framework (Trust case) trong phõn tớch và lập luận về tớnh tin cậy của cỏc dịch vụ liờn quan đến sức khoẻ được sử dụng trong dự ỏn PIPS [1, 3]. Mục đớch của dự ỏn PIPS tập trung vào việc hỗ trợ y tế dài hạn trong điều kiện khụng đe doạ trực tiếp đến tớnh mạng nhưng vẫn cũn quan trọng đối với sức khoẻ của con người và ảnh hưởng lớn đến ngõn sỏch y tế. Hệ thống cho phộp theo dừi bệnh nhõn trong mụi trường mở bằng việc sử dụng cỏc giải phỏp Cụng nghệ Thụng tin. Việc theo dừi dựa trờn cỏc thụng tin do bệnh nhõn cung cấp, dữ liệu về bệnh nhõn cựng với thụng tin liờn quan đến đời sống được lưu trong hệ thống để cung cấp cho cỏc dịch vụ cỏ nhõn liờn quan khi bệnh nhõn cần tham khảo. Hệ thống tựđộng gửi cỏc khuyến cỏo dựa trờn nguồn tri thức được tớch hợp trong PIPS.
Trust Case – một cụng cụ chứng minh tớnh tin cậy.
Việc theo dừi bệnh nhõn và hệ thống tư vấn (như PIPS) được sử dụng trờn cơ sở tự nguyện và thành cụng của nú khụng chỉ phụ thuộc vào giỏ trị bổ sung cho cỏc người dựng mà cũn phụ thuộc vào qui mụ lớn dựa trờn sự tin tưởng của người dựng
mà hệ thống khụng gõy bất kỳ rủi ro đỏng kể nào đối với người dựng. Mặc dự sự tin tưởng đú bị ảnh hưởng bởi nhiều nhõn tố khỏc, tập trung đặc biệt của chỳng ta là việc xõy dựng lũng tin bằng việc cung cấp một lập luận rừ ràng về sự tin cậy tham chiếu tới cỏc bằng chứng đó cú. Như vậy lập luận được biểu diễn lại trong một dạng của Trust case và được phỏt triển với sự giỳp đỡ của Trust – IT framework. Trust – IT framework định nghĩa ngụn ngữ cho Trust case, cỏc mụ hỡnh của quỏ trỡnh làm việc liờn quan đến sự phỏt triển Trust case và duy trỡ, một bảng túm tắt cỏc kịch bản ứng dụng và cụng cụ nền tảng TCT cung cấp sự phỏt triển và sử dụng phõn tỏn của cỏc Trust case. Trust case cú cấu trỳc hỡnh cõy và bao gồm cỏc kiểu nỳt khỏc nhau. Mỗi nỳt chứa một mẩu thụng tin và kiểu của nú miờu tả vai trũ của thụng tin này trong cấu trỳc lập luận. Cấu trỳc lập luận theo phương phỏp tiếp cận Toulmin đó trỡnh bày ở trờn. Để phỏt triển cỏc lập luận, đầu tiờn chỳng ta phải xỏc định cỏc khẳng định (CL) để thảo luận. Trong khi phỏt triển Trust case của PIPS cỏc khẳng định liờn quan chủ yếu hai loại sau: Rủi ro an toàn của bệnh nhõn và bảo mật của bệnh nhõn liờn quan tới yờu cõu định danh cỏc rủi ro bảo mật chung được bao trựm bởi bảo mật liờn quan cỏc tiờu chuẩn và cỏc khuyến cỏo.
4.5.4.1 Việc định vị cỏc rủi ro an toàn và cỏc yờu cầu bảo mật
Từ quan điểm an toàn, phõn tớch tập trung vào cỏc rủi ro liờn quan tới cỏc kịch bản của PIPS và quy trỡnh phõn tớch rủi ro tuõn theo cỏc khuyờn cỏo của tiờu chuẩn ISO 14971. Chỳng ta sử dụng cụng cụ RiskGuide trờn mạng để hỗ trợ xỏc định và phõn tớch rủi ro và để khuyến khớch cỏc thành viờn dự ỏn tham gia tớch cực. Cỏc rủi ro an toàn được xỏc định với sự trợ giỳp của cỏc danh sỏch chuyờn dụng được sinh ra từ tiờu chuẩn ISO 14971 và bằng việc xem lại cú tớnh hệ thống của cỏc dịch vụ hệ thống dựa vào cỏc cơ chế thất bại. Một số vớ dụ về cỏc rủi ro xỏc định được đưa ra dưới đõy:
• R1: Bệnh nhõn nhận được những khuyờn cỏo sai từ PIPS; cỏc khuyờn cỏo được đưa ra bởi PIPS là khụng đầy đủ liờn quan tới tỡnh trạng sức khoẻ của bệnh nhõn và khi theo cú thể gõy hại.
• R2: PIPS cung cấp cỏc thiết bị làm hại tới bệnh nhõn; cỏc thiết bịđược sử dụng trong PIPS là khụng an toàn do thiết kế khụng hoàn thiện, sử dụng khụng đỳng hoặc cấu hỡnh sai.
Những rủi ro đó xỏc định được phõn tớch thờm, vớ dụ như nghiờn cứu về cỏc nguyờn nhõn của R1 chỳng ta xỏc định được cỏc rủi ro cụ thể hơn:
• R1.1: thụng tin của PIPS về tỡnh trạng sức khoẻ của bệnh nhõn bị thiếu hoặc khụng chớnh xỏc; PIPS cung cấp cỏc khuyến cỏo sai vỡ thụng tin nguồn khụng chớnh xỏc hoặc khụng đầy đủ.
• R1.2: PIPS đưa ra cỏc khuyến cỏo khụng chớnh xỏc dựa vào dữ liệu chớnh xỏc; PIPS cung cấp cỏc khuyến cỏo sai mặc dự dữ liệu nguồn chớnh xỏc vỡ lỗi logic.
• R1.3: PIPS truyền khụng chớnh xỏc cỏc khuyến cỏo đến bệnh nhõn; PIPS xõy dựng chớnh xỏc cỏc khuyến cỏo nhưng chỳng bị làm sai trong kờnh truyền thụng.
• R1.4: PIPS gửi cỏc khuyờn cỏo khụng đỳng bệnh nhõn; PIPS xõy dựng cỏc khuyờn cỏo đỳng cho một bệnh nhõn nhưng gửi chỳng cho một bệnh nhõn khỏc.
Thờm nữa là cỏc kết quả của cỏc phõn tớch này thụng qua cấu trỳc Trust case. Việc phõn tớch bảo mật người dựng được dựa trờn cỏc yờu cầu của cỏc chỉ thị EU 95/46/EC, 2002/58/EC và cỏc hướng dẫn 2006/24/EC, OECD. Bảo vệ dữ liệu theo luật 2003 và tiờu chuẩn HIPAA của Mỹ. Chỳng ta xỏc định được 17 yờu cầu bảo mật chung.
vớ dụ:
• PR1: cỏc mục đớch của việc xử lý; dữ liệu cú thể chỉ được xử lý cho cỏc mục đớch cụ thể, rừ ràng và hợp phỏp. Điều này cú nghĩa là đối tượng dữ liệu phải nhận thức được việc xử lý đưa ra trờn dữ liệu của nú, và trong cỏc chi tiết phải được thụng tin về cỏc mục đớch mà dữ liệu của nú được xử lý.
• PR2: dữ liệu chớnh xỏc; hệ thống cần được duy trỡ riờng, dữ liệu phải chớnh xỏc và được cập nhật. Nếu một người dựng phỏt hiện cỏc lỗi trong dữ liệu, chỳng phải cú khả năng yờu cầu chỉnh sửa hoặc xoỏ. Người kiểm soỏt dữ liệu phải cú
khả năng chốn một cõu bổ sung nờu rừ trạng thỏi chỉnh sửa, những tranh luận hoặc cỏc vấn đề khỏc liờn quan tới cỏc cỏo buộc dữ liệu cú thể khụng chớnh xỏc.
Cỏc yờu cầu sau đú được phõn tớch để xỏc định cỏc tớnh năng cụ thể hơn và phỏt triển một lập luận để hỗ trợ khẳng định mà cú một yờu cầu được hỗ trợđầy đủ.
Hỡnh 18: Cỏc chi tiết của một Trust case với bằng chứng về việc giảm rủi ro an toàn
4.5.4.2. Việc phỏt triển cỏc lập luận
Với mỗi khẳng định liờn quan tới một rủi ro an toàn cú sẵn hoặc diễn tả một yờu cầu bảo mật, chỳng ta tỡm xem nú cú thể được hỗ trợ bằng một lập luận và bằng chứng phự hợp thế nào. Cỏc vớ dụ về bằng chứng là: cỏc tài liệu quyết định thiết kế, cỏc mụ tả kịch bản, chi tiết kỹ thuật của cỏc thành phần hệ thống… Cỏc nguồn bằng chứng khụng bị hạn chế ở trong cỏc tài liệu dự ỏn, trong nhiều trường hợp nú cần thiết tham khảo cỏc nguồn bờn ngoài. Trong hỡnh trờn trỡnh bày một vớ dụ về một luận chứng chi tiết hơn liờn quan tới rủi ro R1.1. Một đoạn Trust case bao gồm cỏc tham chiếu đến cỏc nguồn bằng chứng bờn ngoài ký hiệu Ref. Bằng cỏch sử dụng cỏc tài liệu tham khảo này, cỏc bằng chứng được tớch hợp đầy đủ trong Trust case. Phần bảo mật của Trust case được cấu trỳc theo cỏc yờu cầu bảo mật chung. Đối với mỗi yờu cầu, cỏc nguồn tài liệu được xỏc định rừ ràng và được sử dụng như vậy gọi là cỏc nỳt thụng tin, ký hiệu là I. Hỡnh 19 dưới đõy biểu diễn một đoạn Trust case của PIPS liờn quan tới bảo mật của bờnh nhõn.
Hỡnh 19. Phõn tớch cấu tạo bảo mật của PIPS ở mức cao
4.6. Nghiờn cứu ỏp dụng thử nghiệm
Theo cỏc lý thuyết về quy trỡnh Quản trị rủi ro đó được trỡnh bày ở trờn, tỏc giả nghiờn cứu và ỏp dụng thử nghiệm với dự ỏn Hệ thống Dịch vụ khai thỏc số liệu bỏo cỏo kinh tế xó hội hàng thỏng tại Trung tõm Tin học Thống kờ.
Nghiờn cứu này ỏp dụng đối với dự ỏn dịch vụ khai thỏc số liệu bỏo cỏo kinh tế xó hội hàng thỏng, với kịch bản gồm hai loại người dựng: những người sử dụng và người cập nhật số liệu cho hệ thống. Với cỏc rủi ro về an toàn và bảo mật được xỏc định.
Vớ dụ về cỏc rủi ro được xỏc định liờn quan đến an tũn và bảo mật được đưa ra như sau:
- An toàn:
ắ Việc hiểu sai thụng tin của cỏc chỉ tiờu bỏo cỏo từ dịch vụ,
ắ Người dựng khụng để ý tới lịch sử của số liệu cần xem: số liệu đú phự hợp thời gian nào hay cụng bố khi nào?,
ắ Thời gian cập nhật khụng phự hợp,
ắ Nội dung số liệu khụng chớnh xỏc,
ắ … - Bảo mật.
ắ Những thụng tin khụng được cụng bố cú thểđược xem bởi người sử dụng cuối,
ắ Cơ chế phõn quyền khụng chớnh xỏc từ dịch vụ,
ắ Người dựng khụng truy cập được vào hệ thống dịch vụ.
Từ cỏc rủi ro được xỏc định ở trờn được đưa vào danh sỏch rủi ro mẫu ban đầu và cỏc rủi ro mẫu này tiếp tục được phõn tớch. Việc phõn tớch rủi ro tập trung vào phõn tớch trong danh sỏch rủi ro mẫu ban đầu và cỏc rủi ro mới được xỏc định. Vớ dụ:
- An toàn.
ắ Cỏc giải thớch của chỉ tiờu khụng đầy đủ hoặc khụng được lưu trong hệ thống,
ắ Thời gian của số liệu khụng cú hoặc khụng chớnh xỏc,