5.5.1 Styring av informasjonssikkerhet i nettverk- og informasjonssystemer
5.5.1 Styring av informasjonssikkerhet i nettverk- og informasjonssystemer
Informasjonssikkerhet i nettverk- og informasjonssystemer er et sentralt tiltak for å sikre behandling av helse- og personopplysninger.
Virksomheten skal tydelig definere hvilke sikkerhetskrav som gjelder for nettverk- og informasjonssystemer. Tiltakene som etableres skal være basert på risikovurdering og inkludere teknologiske sikkerhetstiltak tilpasset omfang, kompleksitet, driftsmiljø, brukermiljø, funksjon og risiko ved virksomhetens nettverk- og informasjonssystemer.
Sikkerhetstiltakene for nettverk- og informasjonssystemer skal minst inkludere:
- bruk av to- eller flerfaktorautentisering for å sikre tilgang for både brukere og administratorer
- tilgangskontroll basert på tjenstlig behov for å beskytte innholdet i nettverk- og informasjonssystemer
- kontroll over hvem som har tilgang til virksomhetens nettverk- og informasjonssystemer
- segmentering av tjenester basert på prinsippet om minste nødvendige rettigheter
- tiltak som sikrer at systemene kan håndtere avbrudd og gjenopprettes raskt uten betydelig reduksjon i tjenestekvaliteten
- kapasitetsstyring for å tåle overbelastning og utstyrssvikt
- kontinuerlig videreutvikling og kvalitetssikring av oppdateringer, inkludert installasjon og testing
- overvåkning av nettverk- og informasjonssystemer for å oppdage sikkerhetshendelser
5.5.2 Tilkobling til eksterne nett
Ved tilkobling til eksterne nett skal det etableres tekniske tiltak som ivaretar at kun eksplisitt angitt tillatt trafikk kan passere utenfra og inn eller motsatt, og at annen trafikk stoppes.
Tiltaket skal minst omfatte to uavhengige tekniske tiltak for å redusere risikoen for at personer utenfor virksomheten kan få uautorisert tilgang til eller kunne endre eller slette helse- og personopplysninger.
5.5.3 Elektronisk samhandling
Referansekatalogen for e-helse som er hjemlet i forskrift om standarder og nasjonale e-helseløsninger (lovdata.no) gir oversikt over obligatoriske og anbefalte standarder for helse- og omsorgstjenesten. Forskriften skal bidra til at virksomheter i helse- og omsorgstjenesten som yter helsehjelp, bruker IKT-standarder for å fremme sikker elektronisk samhandling.
Nedenfor beskrives krav til samhandling som ellers ikke fremgår av Normens øvrige kapitler.
5.5.3.1 Krav til elektronisk samhandling
Det skal etableres klare ansvarsforhold mellom avsender, mottaker og eventuell meldingsformidler, og ansvarsforholdene skal fremgå av avtalene mellom virksomhetene og meldingsformidler. Alle avtaler skal være skriftlige.
Avsender/tilbydende virksomhet er ansvarlig for:
- egen tilkoblingssikring som hindrer utilsiktet tilgjengeliggjøring og inntrenging
- at tjenesten ikke skal kunne formidle program som inneholder skadelig programvare e.l.
- sikker overføringskryptering ende-til-ende
Mottaker/anvendende virksomhet er ansvarlig for:
- å sikre at tjenesten ikke skal kunne formidle skadelig kode el.
- egen tilkoblingssikring som hindrer utilsiktet tilgjengeliggjøring og inntrenging
- å ivareta overføringskryptering ende-til-ende
5.5.3.2 Krav til meldingskommunikasjon basert på ebXML-rammeverket
Avsender er ansvarlig for:
- rett adressering av elektroniske samhandlingsmeldinger iht. adresseregisteret (nhn.no)
- at meldingen ved behov skal være signert på en slik måte at virksomheten ikke kan benekte å ha sendt den
- avviksrapportering i forbindelse med feilsending
- at melding skal avleveres i avtalt format
Mottaker er ansvarlig for:
- å registrere mottaket ved behov slik at mottaker ikke kan benekte å ha mottatt meldingen
- avviksrapportering i forbindelse med feil, dvs. mottak av melding som ikke er adressert til virksomheten
- at melding skal mottas i avtalt format
Meldingsformidler er ansvarlig for:
- at melding kun skal avleveres til adressaten
- at melding ikke skal endres eller destrueres under transport fra avsender til mottaker
- at melding ikke skal kunne leses av andre enn avsender og mottaker
- at melding skal avleveres innen avtalte tidsfrister fra avsendelse
- avviksrapportering i forbindelse med alle ovenstående punkter
5.5.3.3 Datadeling i sanntid
Samhandling gjennom datadeling tilrettelegger for at innbyggere og aktører i helsesektoren kan ha en mer dynamisk informasjonsdeling. Slik informasjonsdeling kan være at en aktør etterspør eller oppdaterer informasjon hos en annen aktør over et datadelingsgrensesnitt.
Følgende sikkerhetsprinsipper gjelder for datadeling:
- Det må være en sikker brukerautentisering som virksomhetene som tilbyr datadelingsgrensesnitt har tillit til.
- Virksomheten som ber om tilgang, skal kontrollere at brukeren har nødvendige autorisasjoner for det aktuelle datadelingsgrensesnittet.
- Det skal skilles mellom lese- og skriverettigheter til forskjellige informasjonselementer basert på den enkelte brukerautorisasjon.
- Unødvendig mellomlagring skal unngås.
- Det skal være mulig å kunne verifisere legitimiteten til datadelingsgrensesnittet og virksomheten som tilbyr den.
- Felleskomponenter for autentisering av konsument skal benyttes der det er tilgjengelig og hensiktsmessig.
- Felleskomponenter for autentisering av konsument skal benyttes der det er tilgjengelig og hensiktsmessig.
5.5.4 E-post og SMS
Virksomheten skal etablere tiltak for å forhindre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten tilgjengeliggjøres ved hjelp av ukryptert e-post og SMS eller andre usikre kanaler.
Om virksomheten bruker ukrypterte kanaler, skal virksomheten
- forsikre seg om ved tekniske og organisatoriske tiltak at e-post ikke inneholder identifiserbare helseopplysninger
- etablere logging for å kontrollere at regler ikke brytes. Regelbrudd skal håndteres som avvik.
- vurdere om den samlede informasjonen i SMS og e-post kan medføre brudd på taushetsplikten
5.5.5 Tilkobling til Internett
Teknisk utstyr, f.eks. medisinsk utsyr, eller applikasjoner som kobles til Internett, skal inkluderes i virksomhetens arbeid med informasjonssikkerhet og personvern, herunder i risikovurderinger, tilgangsstyring og rutiner for bruk.
Virksomheten skal etablere
- tekniske tiltak som bidrar til å hindre utilsiktet utlevering og uautorisert tilgang til helse- og personopplysninger
- logging for å kontrollere at regler ikke brytes. Regelbrudd skal håndteres som avvik.
