Risikovurdering og relevansen for tilgang
Risikostyring er koordinerte aktiviteter for å rettlede og kontrollere en organisasjon med hensyn til risiko. Det omfatter å få oversikt over informasjon og teknologi i virksomheten, identifisere trusler og mulige uønskede hendelser for både virksomheten og de registrerte, analysere risikoen og etablere tiltak for å opprettholde nivå for akseptabel risiko. Les mer om risikostyring
Valg av løsning for tilgangsstyring skal baseres på en risikovurdering. Risikovurderingen skal dokumenteres
I henhold til Normen skal tekniske og organisatoriske tiltak etableres for å håndtere identifisert risiko på en tilfredsstillende måte. Virksomhetens valg av egnede tekniske og organisatoriske tiltak skal vurderes opp mot forholdsmessigheten. Dette gjelder særlig i vurderingen av egnet sikkerhetsorganisasjon, arbeidsoppgaver, kontrolloppgaver og tiltak innen tilgangsstyring.
Virksomheten er pålagt å fastsette nivå for akseptabel risiko basert på Normens minimumskrav til informasjonssikkerhet og eventuelt egne infromasjonssikkerhetsmål. Videre skal virksomheten, gjennom egnede sikkerhetstiltak, sikre at restrisikoen er akseptabel.
Normen stiller følgende overordnede minimumskrav til informasjonssikkerhet som har direkte tilknytning til temaet tilgangsstyring (konfidensialitet, integritet, tilgjengelighet og robusthet). Minimumskrav for å sikre konfidensialitet, integritet, tilgjengelighet og robusthet
Minimumskrav for å sikre konfidensialitet
Virksomheten skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysninger, ved å
- hindre uautorisert tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten
- avgrense tilgang for autorisert personell iht. tjenstlig behov
- ha oversikt (logger) over alle som har hatt tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten.
Et av hovedtiltakene for å sikre konfidensialitet er å implementere gode og effektive tiltak for tilgangsstyring. |
Minimumskrav for å sikre integritet
Virksomheten skal sikre integriteten til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten, ved å
- logge hvem som har rettet, registrert, endret og slettet opplysningene
- hindre utilsiktet eller uautorisert endring eller sletting av opplysningene.
Et eksempel på et tiltak virksomheten kan iverksette for å hindre uautorisert endring eller sletting, er å sperre for endring av data som ikke skal endres, som for eksempel prøvesvar, registrerte målinger og undersøkelsesresultater, autorisasjonsregister og logger. |
Minimumskrav for å sikre tilgjengelighet og robusthet
Virksomheten skal sikre at helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten er tilgjengelig til rett tid, ved å
- sikre at helse- og personopplysninger er tilgjengelig iht. tjenstlig behov.
Sett ut fra et tilgangsstyringsperspektiv innebærer dette å sikre at personell gis de nødvendige autorisasjonene for å yte forsvarlig helsehjelp, og sikre at disse er i tråd med tjenstlig behov. |
Praktiske råd om risikovurderinger
Det er utarbeidet et eget veiledningsmateriell for Normen som går i dybden på hvordan risikovurderinger bør gjennomføres i praksis.[24] Dette kapitlet tar for seg konkrete eksempler knyttet til tilgangsstyring. Forhold knyttet til risikovurderinger blir også løpende diskutert i de ulike kapitlene i veilederen.
Risikovurdering skal ligge til grunn for
|
I Normen er det krav om at risikovurderinger skal gjennomføres når det er nødvendig, men det er også noen minimumskrav for når risikovurderinger skal gjennomføres.[25] I tekstboksen under har vi oppsummert de kravene til risikovurdering som kan knyttes direkte til tilgangsstyring.
Risikovurderinger bør være scenariobasert og ta utgangspunkt i uønskede hendelser som kan oppstå i virksomheten. I forberedelsene til risikovurderingen bør det utarbeides forslag til uønskede hendelser som tas med inn i risikovurderingen.
Eksempel på scenarioer som er relevant for tilgangsstyring:
|
Når selve risikovurderingen skal gjennomføres bør det etableres en arbeidsgruppe som består av representanter fra ulike deler av virksomheten, slik at man sikrer at ulike perspektiv blir vurdert og tatt stilling til.
Arbeidsgruppen bør bestå av personer med sikkerhetskompetanse, personvernkompetanse, IKT- og systemkompetanse og juridisk kompetanse, samt brukere av systemene (helsepersonell), og hvis relevant også pasientrepresentanter (som for eksempel brukerutvalg). Det er særlig relevant å involvere helsepersonell i risikovurderinger innen tilgangsstyring.
Grunnen til dette er at de både er daglige brukere av systemene og kjenner til relevante problemstillinger som kan oppstå daglig, samt at de også kjenner til de helsefaglige konsekvensene som er viktig å ta med i risikovurderingen. For å muliggjøre deltakelse fra helsepersonell er det viktig med god planlegging for å legge opp til en gjennomføring utenfor helsepersonellets kjernetid.
Etter gjennomført risikovurdering bør beslutninger om sikkerhetstiltak for tilgangsstyring tas av personell på ledernivå med kompetanse til å vurdere både forsvarlig pasientbehandling og informasjonssikkerhet.
Personell som tar denne beslutningen, er også eier av risikoen. Virksomheten bør overvåke restrisiko i perioden etter at en risikovurdering er gjennomført.
Det bør utarbeides en rutine for å gjennomgå tidligere risikovurderinger, og oppdatere disse ved endringer i risikobildet, ved nye relevante problemstillinger og etter implementering av risikoreduserende tiltak.
For eksempel bør risikovurderingen oppdateres dersom det er ønske om å gjøre endringer i tilgangsrettigheter til en gruppe helsepersonell/gitt rolle i systemet, før større programendringer og versjonsoppgraderinger av betydning for tekniske tiltak for tilgang, og etter hvert som avvik fra tilgangsrutinene oppdages og håndteres.