Innholdsfortegnelse
1.4 Øvrige relevante dokumenter og krav
2 Krav og retningslinjer for identitet og tilgangsstyring i Helse Midt-Norge
2.1 Generelle krav og føringer for identitets-, rolle og tilgangshåndtering
2.3.1 Brukerkontoer med utvidede rettigheter
2.3.2 Upersonlige system- og administratorkontoer
2.4.1 Sikkerhetsprinsipper for autentisering
2.4.3 Krav til multifaktorautentisering
2.5 Autorisering og tilgangsstyring
2.6 Tilgangsstyring for enheter og utstyr
2.7 Identitets- og tilgangsstyring for applikasjoner
2.10 Revisjon og kontroll av tilganger
2.11 Bruk av privilegerte hjelpeprogrammer
2.12 Tilgangskontroll til programkildekode
2.13 Tilgang til helse- og personopplysninger mellom virksomheter
Formålet med dette dokumentet er:
· Beskrive regionale krav og retningslinjer for identitets- og tilgangsstyring i HMN
· Sikre at HMN er i samsvar med lover og regelverk, samt Norm for informasjonssikkerhet i helsesektoren (Normen) innenfor dette temaområdet
Krav og retningslinjer for identitets og tilgangsstyring i HMN gjelder for den logiske tilgangen til alt IT-utstyr, medisinskteknisk utstyr, nettverk, systemer og all programvare som benyttes for informasjonsbehandling i helseregionen. Krav og retningslinjer for sikring av fysiske tilganger er regulert i eget dokument i det regionale styringssystemet for informasjonssikkerhet i HMN (link).
Den primære målgruppen for dette dokumentet er ressurser som har ansvar for planlegging, implementering, forvaltning og kontroll av identitet og tilgangsstyring i HMN.
Manglende samsvar og etterlevelse av krav og retningslinjer i dette dokumentet skal meldes som avvik i henhold til Helse Midt-Norge (HMN)s rutiner for avviksmeldinger.
Ansvaret for forvaltning og etterlevelse av dokumentet er i samsvar med beskrivelsen av roller og ansvar i dokumentet «Organisering av informasjonssikkerhets- og personvernarbeidet i Helse Midt-Norge» (Link) i regionalt styringssystem for informasjonssikkerhet og personvern i HMN, samt mandat for Regionalt forum for informasjonssikkerhet – RIF.
I tilleggs skal den primære målgruppen for dette dokumentet (ref. 1.2) bidra i forvaltning og etterlevelse av innholdet.
|
ID |
Dokument |
Link |
|
|
Organisering av informasjonssikkerhets- og personvernarbeidet i Helse Midt-Norge |
|
|
|
Mandat RIF (vedlegg til Organisering av informasjonssikkerhets- og personvernarbeidet i Helse Midt-Norge, se under relatert i EQS) |
|
|
|
Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor (ekstern link til Digdir) |
|
|
|
Regional passordpolitikk |
|
|
|
Sikkerhetsinstruks |
|
|
|
Krav og retningslinjer for logging og overvåkning i Helse Midt-Norge |
Forklaring/definisjoner av forkortelser, ord og begreper benyttet i dette dokumentet:
|
Begreper |
Forklaring/definisjon |
|
Personlig bruker |
Brukerkonto som benyttes av personer og kan knyttes til en enkeltperson. |
|
Upersonlig bruker |
Brukerkonto som benyttes av personer, men som ikke kan knyttes til en enkelt identitet. Typisk eksempel er felleskontoer/fellesbrukere. Denne typen kontoer skal ikke benyttes eller opprettes. |
|
Brukerkontoer med utvidede rettigheter |
Kontoer som har rettigheter til ett eller flere systemer utover de normale rettighetene for vanlige brukerkontoer. Typisk eksempel er administrator kontoer. |
|
Behandlingsrettet helseregister |
Pasientjournal- og informasjonssystem eller annet register, fortegnelser eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner. |
|
Administratorkonto |
En administratorkonto er en bestemt brukerkontotype med utvidede rettigheter på et system, egnet for å administrere systemet, installere programvare og oppdateringer, administrere brukere, starte og stoppe tjenester osv. |
|
System- og service-kontoer |
Kontoer som benyttes av IKT-systemer eller tjenester uten involvering av personlige brukere. Typiske eksempler inkluderer kontoer for å utføre back-up, antivirus, og lignende automatisk funksjonalitet. |
|
Kontoeier |
For personlige brukerkontoer er kontoeier den identiteten brukerkontoen er knyttet til. For andre typer kontoer er kontoeier personen som er ansvarlig for kontoen eller tjenesten passordet er knyttet til. |
|
Hemmelig autentiserings-informasjon |
Passord er en mye brukt form for hemmelig autentiseringsinformasjon og er en vanlig måte å verifisere en brukers identitet på. Andre former for hemmelig autentiseringsinformasjon er kryptografiske nøkler og andre data lagret på maskinvare-token (f.eks. smartkort) som produserer autentiseringskoder. |
|
Logisk tilgangskontroll |
Et automatisert system som administrerer en persons tilgang til én eller flere systemressurser, for eksempel en arbeidsstasjon, nettverk, applikasjon eller database. Et logisk tilgangskontrollsystem krever validering av en persons identitet gjennom en eller annen mekanisme, for eksempel en PIN-kode, kort, biometrisk eller annen token. Dette gir muligheten til å tildele forskjellige tilgangsprivilegier til forskjellige individer avhengig av deres roller og ansvar i en organisasjon (Ref.: NIST SP 800-53) |
|
Uavviselighet |
Uavviselighet er å bekrefte at en handling eller et informasjonselement er uendret (integritet) og at det kan knyttes til en bestemt identitet. En løsning for uavviselighet er en løsning som gjør det mulig for også en tredjepart å innhente tilstrekkelig dokumentasjon for at en annen part ikke kan nekte for å ha gjennomført en handling eller ha valgt å bekrefte/vedgå seg et informasjonselement. |
|
2.1.1 |
I Helse Midt-Norge (HMN) skal alle ansatte ha en unik identifikator som identifiserer hvem personen er, uansett hvilket arbeidsforhold som er knyttet til personen. |
|
2.1.2
|
Identiteten til en medarbeider i HMN skal verifiseres på sikker måte før denne opprettes som bruker i HMNs informasjonssystemer. Dette skal sikres gjennom registrering og ID-kontroll av brukere vha. standardiserte grensesnitt og virksomhetens dokumenterte metoder og prosedyrer. |
|
2.1.3
|
En formell prosess for forvaltning av brukeraksess skal implementeres for å tildele eller inndra aksessrettigheter for alle typer brukere til alle systemer og tjenester. Prosessen skal omfatte hele livssyklusen og omfatte opprettelse/registrering, vedlikehold og sletting/deaktivering. Prosessen skal i størst mulig grad automatiseres. |
|
2.1.4 |
Helse Midt-Norge (HMN) skal ha dokumenterte rutiner og prosedyrer for tilgangskontroll som beskriver hvordan tilgang gis, forvaltes og opphører. |
|
2.1.5
|
Tilgang til informasjon og informasjonssystemer skal være begrenset til tjenstlig behov. Tilgang skal gis på et lavest mulig nivå, og skal tidsmessig begrenses til det formålet som tilgangen gis. Når formålet for tilgang opphører, skal også tilgangen opphøre. |
|
2.1.6 |
Et sentralisert verktøy skal benyttes til å holde oversikt over kontoer, tilganger og rettigheter. |
|
2.1.7 |
Helse Midt-Norge (HMN) skal etablere og vedlikeholde en oversikt over bedriftens autentiserings- og autorisasjonssystemer, inkludert de som er interne (on-site) eller hos en ekstern tjenesteleverandør. Oversikten skal gjennomgås og oppdateres, minimum årlig eller oftere. |
|
2.1.8 |
Elektronisk fjerntilgang for leverandører skal kun gis gjennom godkjent løsning. Fjerntilgang skal logges og beskyttes med sikkerhetskontroller som detekterer og forhindrer ikke-godkjente tjenester, uønskede handlinger og eksterne trussel-utøvere. I tilfeller av fysisk oppmøte skal leverandører kun bruke IKT-utstyr som er forhåndsgodkjent av leder for informasjonssikkerhet i virksomheten |
Med brukerkonto menes en representasjon av en digital identitet. For alle typer brukerkontoer i HMN gjelder følgende krav og retningslinjer:
|
|
Sikkerhetskrav for brukerkontoer |
|
2.2.1
|
Det skal kun benyttes personlige brukere. Alle ansatte og innleide i Helse Midt-Norge (HMN) skal derfor ha en personlig konto. Fellesbrukere eller på annen måte deling av brukerkontoer skal ikke forekomme. Avvik/unntak fra dette skal risikovurderes, begrunnes og skriftlig godkjennes av foretakets CISO og IKT-leder samt dokumenteres. Risikoreduserende tiltak skal vurderes og implementeres. Jevnlig revisjon skal gjennomføres. |
|
2.2.2
|
Tilgang til informasjon, informasjonsbehandlingsutstyr og virksomhetsprosesser skal kontrolleres på grunnlag av virksomhetsbehov, tjenstlig behov og sikkerhetsbehov. |
|
2.2.3
|
Brukerkontoer skal entydig knyttes opp mot den digitale identitet til den enkelte og ivareta uavviselighet og sporbarhet ved autentisering. |
|
2.2.4
|
En brukers tilgang til tjenester og informasjon skal slettes når tjenstlig behov for dette opphører. |
|
2.2.5
|
Personlige brukerkontoer skal ikke gis administrative rettigheter. For dette formålet skal personlige brukerkontoer med utvidede rettigheter opprettes. |
|
2.2.6 |
Alle brukerkontoer skal følge regional passordpolitikk. |
|
2.2.7
|
Brukere skal hindres i å benytte informasjonsbehandlingsutstyr til ikke-autoriserte formål. |
|
2.2.8
|
Varigheten av aktive sesjoner skal tids-avgrenses for å forhindre brukerne fra å holde sesjonene åpne slik at ny autentisering kan unngås. |
|
2.2.9
|
Det skal gjennomføres opplæring i policy, rammeverk og prosedyrer som er relevant for brukere av systemet. Dette gjelder alle brukere og administratorer av systemet, samt eventuelle kontraktører og tredjepartsbrukere. |
|
|
Krav til deaktivering og sletting av brukerkontoer |
|
2.2.10 |
Brukerkontoer skal slettes eller deaktiveres etter arbeidsforholdet er opphørt, i henhold til gjeldende lover og regelverk, samt etter kravene i dette dokumentet. |
|
2.2.11
|
Brukerkontoer som ikke har vært pålogget Helse Midt-Norges sentrale katalogtjeneste (Active Directory – AD) siste 180 dager skal deaktiveres. Med deaktivering menes at brukerkonto ikke skal kunne benyttes til å logge på IKT-systemer i Helse Midt-Norge. Det skal likevel være mulig å aktivere en deaktivert brukerkonto på et senere tidspunkt, slik at den igjen kan benyttes i Helse Midt-Norge. |
|
2.2.12 |
Brukerkontoer som har vært deaktiverte i 365 dager skal slettes. Slettede brukere må opprettes på nytt for å fungere. Disse kravene gjelder alle brukerkontoer, både interne og eksterne, med følgende unntak: · Brukerkontoer for personer som har et aktivt ansettelsesforhold med virksomhet i Helse Midt-Norge (for eksempel sykemeldte)
|
|
2.2.13 |
Det skal etableres rutine for automatisk deaktivering og sletting av brukerkontoer i henhold til kravene ovenfor. Slette-rutine skal kjøres slik at den gir minimum innvirkning på kapasitet, men minst én gang per måned. Tjenesteleverandørene skal senest innen 5 virkedager før rutinen kjøres sende ut en liste til ansvarlige i helseforetakene med en oversikt over brukerkontoer som vil deaktiveres og / eller slettes. Listen skal inneholde hvilket helseforetak brukerkontoen tilhører, brukernavn, fullt navn, siste påloggingsdato, opprettet dato og utløpsdato. |
|
2.2.14 |
Helseforetakene er selv ansvarlige for å kontrollere tilsendte lister over brukerkontoer som skal deaktiveres og/eller slettes og rapportere feil og avvik til Hemit før slette-rutinen kjøres. |
|
2.2.15 |
Brukere som i personalsystemene står som sykemeldt/aktiv sykemeldt skal ikke slettes. Brukerkontoer som gis unntak fra kravene for sletting skal ha skriftlig godkjenning av IKT-sjef i helseforetaket. |
|
2.2.16 |
En deaktivert brukerkonto skal kunne aktiveres hvis behovet for brukerkontoen gjenoppstår i perioden den er deaktivert. Reaktivering av brukerkonto skal følge etablerte rutiner for dette. |
|
|
Spesielt for behandlingsrettede helseregistre |
|
2.2.17
|
Arbeidsforholdet til den enkelte skal være entydig identifiserbart så lenge bruker er pålogget og kunne spores i de behandlingsrettede helseregistre den enkelte er gitt tilgang til. |
|
2.2.18
|
Det skal være mulig å entydig identifisere hvem som er arbeidsgiver til den enkelte ansatte (entydig identitet). Dersom det foreligger flere ansettelsesforhold skal applikasjonen sørge for at det er entydig i hvilket forhold den ansatte til enhver tid opptrer. |
|
2.2.19
|
Identiteten til den enkelte som bruker ett eller flere behandlings rettede helseregistre skal være gjennomgående sporbar på tvers av disse. |
|
2.2.20
|
Autentisering skal støtte identitetsutveksling ved hjelp av SAML, OIDC eller tilsvarende teknologi forsterket med kryptografisk signering. |
|
2.2.21
|
Den autoritative kilden for ansattidentiteter skal være det regionale lønns- og personalsystemet. |
|
2.2.22
|
Den autoritative kilden for organisasjonsenheter i spesialisthelsetjenesten skal være det til enhver tid gjeldende nasjonale helseadministrative register (p.t. register over enheter i spesialisthelsetjenesten. |
|
2.2.23
|
Programvare som krever systemkonti av ulike slag skal ikke ha systemkonti som kan brukes til å få tilgang til innholdet i det behandlingsrettede registeret eller tilgang til å opprette nye brukere i systemet. |
Brukerkontoer med utvidede rettigheter kan ha tilgang til sensitive og kritiske informasjonssystemer og til kritisk infrastruktur som disse systemene er avhengige av. Privilegerte tilganger gir ekstraordinære rettigheter som har betydelig høyere sikkerhetsrisiko sammenlignet med ordinære brukertilganger og er derfor et ettertraktet mål for trusselaktører. For å sikre privilegerte tilganger i HMN gjelder regionale krav og retningslinjer som beskrevet i dette kapittelet.
|
|
Generelle krav og føringer til privilegerte tilganger |
|
2.3.1 |
Tilgangsstyring skal etableres for alle brukerkontoer med utvidede rettigheter og systembrukere. |
|
2.3.2 |
Tildeling og bruk av privilegerte aksessrettigheter skal begrenses og kontrolleres. |
|
2.3.3
|
Det skal være en arbeidsdeling mellom den som etterspør tilganger og den som godkjenner eller gir tilganger, slik at ingen kan godkjenne eller gi tilganger ut over det tilgangsnivå man selv er gitt. |
|
|
Sikkerhetsprinsipper for brukerkontoer med utvidede rettigheter |
|
2.3.4
|
Brukere skal ikke ha administratorrettigheter på egen klient. Ved spesielle behov må det etableres en personlig separat brukerkonto med utvidede rettigheter, og følgende kriterier må være oppfylt: · Nødvendig for å gjennomføre funksjon som ikke kan oppfylles på annen måte · Brukeren skal dokumentere tilstrekkelig IKT-kompetanse og forståelse · Personlige administratorkontoer skal kun benyttes for å oppnå eller utføre administrative oppgaver. Disse kontoene bør ha tilstrekkelig sikkerhetsskille og som absolutt minimum ikke ha samme passord (se 5.3.10). |
|
2.3.5
|
Tildeling av lokale brukerkontoer med utvidede rettigheter skal godkjennes av: · IKT-ledelse og informasjonssikkerhetsleder i foretaket før forespørsel sendes til Hemit. |
|
2.3.6
|
Bruken av kontoer med domene-admin[1] rettigheter skal begrenses til kun et minimum av Helse Midt-Norge (HMN)s driftsoperasjoner. Det anbefales likevel mer enn en konto for domene-admin for å sikre alternativ tilgang i situasjoner som krever det. |
|
2.3.7
|
Brukerkontoer med utvidede rettigheter skal knyttes opp mot en digital identitet, slik at kravet om uavviselighet og sporbarhet ivaretas. |
|
2.3.8
|
Driftspersonell skal ha personlige brukerkontoer for oppgaver som ikke krever utvidede rettigheter. |
|
2.3.9
|
Det skal etableres ulike brukerkontoer med utvidede rettigheter til de ulike delene av infrastrukturen som forvaltes, slik at kompromittering av en konto ikke gir fulle rettigheter til hele systemet (eksempelvis backup_admin, network_admin, server_admin, osv.). |
|
2.3.10 |
Brukerkontoer med utvidede rettigheter skal følge regional passordpolitikk. |
|
2.3.11
|
Kravene til passordlengde og -kompleksitet skal håndheves automatisk av systemet. |
|
2.3.12 |
Brukerkontoer med utvidede rettigheter skal begrenses iht. dokumentert tjenstlig behov. Det skal sikres at den som gis utvidede rettigheter er gitt tilstrekkelig opplæring og har den kompetanse som kreves for slike tilganger. Dette skal kontrolleres iht. krav 5.3.4 over. |
|
2.3.13
|
Administratorer eller andre tekniske roller skal, om teknisk mulig, ikke ha tilgang til å se på helse/pasient data, da dette er data som ikke er benyttet i administratorens rolle. Alle systemer og lagringsmedier skal ha gjennomført tilgangsstyring ut ifra tjenstlig behov. |
|
2.3.14
|
En risikovurdering skal gjennomføres for å begrunne behovet for ulike brukerkontoer med utvidede rettigheter. |
|
2.3.15 |
Brukerkontoer med utvidede rettigheter skal deaktiveres når behovet bortfaller. |
Med upersonlige system- og administratorkontoer menes kontoer som ikke er knyttet til person, dvs. kontoer som «root», «db_admin», «administrator» og så videre, samt også service-kontoer. Bruken av slike kontoer og tilgangen til disse skal begrenses.
Service-kontoer er spesialiserte "ikke-menneskelige" kontoer som vanligvis brukes i operativsystemer for å utføre applikasjoner eller andre tjenester som får tilgang til data og nettverksressurser for å utføre spesifikke oppgaver. Service-kontoer opererer ofte med spesifikke lokale systemprivilegier som er nødvendige for å fungere og/eller koble til andre system- og nettverksressurser. Dette betyr at service-kontoer vanligvis har forhøyede privilegier og potensielt tilgang til sensitive data og kritiske systemer.
En lokal systemkonto er en brukerkonto som opprettes av et operativsystem under installasjonen og som brukes til operativsystemdefinerte formål. Systemkontoer har ofte forhåndsdefinerte bruker-IDer (f.eks. root-konto i Linux). Systemkontoen eies av det systemet som har opprettet denne og kontoen har gjerne privilegier på høyt nivå. Da en systemkonto opprettes (anonymt) av operativsystemet er den ikke knyttet til en gyldig HMN bruker-ID og har ikke passord tildelt iht. Helse Midt-Norges passordpolitikk eller krav til autentisering. Systemkontoer har ofte tilgang og kontroll på lokale filsystemer og kan utgjøre et sikkerhetsproblem om tilgangen misbrukes.
|
|
Sikkerhetsprinsipper for upersonlige system- og administratorkontoer |
|
2.3.16 |
System- og administratorbrukere skal opprettes i tråd med HMNs passordpolitikk |
|
2.3.17
|
System- og administratorpassord skal inngå i Helse Midt-Norges passordhvelv. |
|
2.3.18
|
Helsedata skal være skjermet for bruk av upersonlige system- og administratorkontoer. |
|
2.3.19
|
Person og system skal være adskilt på en måte som sikrer at en person ikke kan opptre som et system og motsatt. |
|
2.3.20
|
Det skal foreligge en oversikt over alle upersonlige system-, service- og administratorkontoer. Oversikten skal minimum inneholde enheten som eier konto, siste dato for revisjon og kontoens formål. |
|
2.3.21
|
Det skal foreligge en oversikt over hvem som har tilgang til og tillatelse til å benytte upersonlige system- og administratorkontoer. |
|
2.3.22 |
Systemkontoer skal kun benyttes der gMSA (Group Managed Service accounts) ikke kan benyttes. gMSA skal benyttes der dette er mulig. |
|
2.3.23 |
Tiltak for å hindre misbruk av service- og systemkontoer må implementeres |
Med autentisering menes som regel verifisering av en brukerkonto gjennom passord eller andre mekanismer. En digital identitet kan ha flere brukerkontoer, og tilgang til informasjonssystemer styres som hovedregel gjennom autentiseringen av en brukerkontos passord. I henhold til pasientjournalloven § 22 skal det være tilgangsstyring, logging og etterfølgende kontroll.
Med «sikker autentiseringsløsning» menes i Normen en autentiseringsløsning som for eksempel er basert på personlig kvalifisert sertifikat eller annen autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet. Med «personlig kvalifisert sertifikat» menes i Normen multifaktorautentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene som var satt til sikkerhetsnivå 4 i tidligere «Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor» publisert i 2008.
Nå er EU-forordningen eIDAS implementert i Norge, som medfører at man operer med tre sikkerhetsnivåer; lav, betydelig og høy. Sikkerhetsnivåene 2, 3 og 4 etter rammeverket fra 2008 tilsvarer i utgangspunktet henholdsvis nivåene eIDAS Lavt, eIDAS Betydelig og eIDAS Høyt.
|
|
Sikkerhetsprinsipper for autentisering |
|
2.4.1 |
Autentisering skal gjøres mot sentral autentiseringsløsning. |
|
2.4.2 |
Flere personer skal ikke benytte samme autentiseringskriterier. |
|
2.4.3 |
Autentisering skal ha tilstrekkelig styrke iht. «beste praksis». Styrken på autentiseringen skal avgjøres av anbefalingen fra en risikovurdering av tjenesten. Nasjonale føringer skal legges til grunn. |
|
2.4.4 |
Tilgang fra hjemmekontor og/eller mobilt utstyr (og mobilnettverk) skal sikres ved sikker autentiseringsløsning. Dette gjelder også for lokasjoner som kommuniserer ved hjelp av linjer Helse Midt-Norge ikke har fysisk kontroll over. |
|
2.4.5
|
Alle tilgangsforespørsler til integrasjonsgrensesnitt skal autentiseres vha. en internasjonal standard tilsvarende SAML eller OIDC. |
|
2.4.6 |
Informasjonssystemer skal støtte Single Sign-On (SSO). |
|
2.4.7
|
Ansatte i andre virksomheter med autorisert tilgang skal kunne automatisk autentiseres vha. en internasjonal standard og protokoll for sikker utveksling av identiteter mellom ulike organisasjoner tilsvarende SAML eller OIDC. |
|
2.4.8 |
Ved bruk av trådløse nettverk for behandling av helse- og personopplysninger skal den autoriserte brukeren autentiseres med sikker autentiseringsløsning. |
|
2.4.9 |
Benyttes roller, skal ulike roller identifiseres, og ved behov gis ny autentisering. |
|
Krav til passordsikkerhet |
|
|
2.4.10 |
Passordsikkerhet og krav til passord skal følge HMNs regionale passordpolitikk (link). |
|
2.4.11 |
Passord skal opprettes, lagres, sendes og forvaltes etter HMNs regionale passordpolitikk. HMN skal ha rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord. |
|
2.4.12 |
Systemer i HMN skal kunne håndheve passordkompleksitet i henhold til HMNs regionale passordpolitikk. |
|
2.4.13 |
Tildeling av hemmelig autentiseringsinformasjon (som passord) skal kontrolleres gjennom en formell styringsprosess. |
|
2.4.14
|
Alle brukere i HMN skal følge organisasjonens passordpolitikk. Sikkerhetsinstruks i HMN skal beskrive dette slik at brukere er kjent med sine plikter (link). |
|
2.4.15 |
Styringssystemer for passord skal være interaktive[2] og skal kvalitetssikre passord. |
|
2.4.16 |
Kravene til passordlengde og -kompleksitet skal håndheves automatisk av systemet. Dette gjelder alle kategorier brukeridentiteter, inkludert system- og servicekontoer. |
|
2.4.17 |
HMN skal ha rutiner slik at alle standardpassord (fabrikkinnstillinger) på systemer og utstyr skal endres ved installasjon og før behandling av helse- og personopplysninger starter. |
|
2.4.18
|
Brukernavn og passord skal brukes kun der SSO (single sign-on) eller flere faktorer ikke kan benyttes. Dette primært for å minimere muligheten for tyveri av bruker-ID og passord. |
Multifaktorautentisering er en metode for tilgangskontroll hvor en bruker kun gis adgang etter å ha presentert flere separate bevis for sin identitet til en autentiseringsmekanisme – vanligvis minst to av følgende kategorier:
Følgende krav til multifaktorautentisering gjelder i Helse Midt-Norge:
|
Krav til multifaktorautentisering |
|
|
2.4.19
|
Helse Midt-Norge skal arbeide for å etablere multifaktorautentiserings-løsninger basert på standardiserte sertifikater for klienter i sine nettverk. Dette for å sikre etterlevelse av krav i henhold til eIDAS-forordningen som er implementert i norsk rett gjennom «Lov om elektroniske tillitstjenester» |
|
2.4.20 |
Multifaktorautentisering skal benyttes der dette er teknisk mulig. |
|
2.4.21
|
Autentisering mot tjenester som behandler · helseopplysninger · virksomhetskritiske opplysninger · personopplysninger · bedriftsinterne eller andre opplysninger som ikke skal eksponeres eksternt, skal være multifaktor og med styrke tilsvarende Høyt iht. «veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor» (Digdir) og eIDAS Høyt i eIDAS-forordningen. Unntak skal håndteres som avvik. |
|
2.4.22
|
Det skal benyttes multifaktorautentisering ved: • Tilgang fra eksterne nettverk (ekstranett, Internett, leverandører) • Tilgang fra klientnettverket mot admin-nettverket • Bruk av kontoer som har tilgang til kritiske data eller systemer, samt for brukere med driftsoppgaver (privilegerte tilganger) Dersom multifaktorautentisering ikke er mulig for slike tilganger skal sterke passord benyttes. Sterke passord er lengre enn standardpassord og inneholder små og store bokstaver, samt spesialtegn (ofte også fraser/setninger). Dette skal gjøre de vanskeligere å gjette og gjøre de vanskeligere for spesialverktøy å knekke. Styrken på autentiseringen og valget av type konto (med tilhørende autentiseringsstyrke) skal avgjøres av anbefalingen fra en risikovurdering av tjenesten. Nasjonale føringer skal legges til grunn (se 5.4.20). |
|
2.4.23 |
Personvernkonsekvensvurdering (DPIA) og påkrevde tiltak skal gjennomføres før innføring av multifaktorautentisering som omfatter biometriske faktorer og geolokalisering. |
Med autorisering menes å gi korrekte tilganger til en autentisert konto.
Det settes en rekke krav til tilgangsstyring for behandlingsrettede helseregistre. Dette gjelder for både virksomhetsinterne og regionale journalsystemer. I Pasientjournalloven § 22 beskrives at den dataansvarlige og databehandleren skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, herunder oppfyller krav til tilgangsstyring, logging og etterfølgende kontroll.
Normens kapittel 5.2 presiserer at tilgangsstyring handler om hvordan virksomheten gjennomfører:
• autorisering for tilgang til informasjonssystemer
• autorisering for tilgang til behandlingsrettet helseregister, som innebærer tildeling av tillatelser til å kunne lese, registrere, redigere, rette, slette og/eller sperre helse- og personopplysninger
• autentisering, som sikrer identifisering av autorisert bruker
• tilgjengeliggjøring av helse- og personopplysninger om bestemte pasienter/brukere for autorisert personell
• tilgjengeliggjøring av helse- og personopplysninger til annet personell enn virksomhetens eget personell
• kontrollerende tiltak
Pasientjournalloven § 19 stiller krav til at dataansvarlig tilgjengeliggjør helseopplysninger for helsepersonell og annet samarbeidende helsepersonell når det er nødvendig for å yte, administrere og kvalitetssikre helsehjelpen.
Pasientjournalloven åpner for nye måter å organisere pasientjournaler og tilganger til slike journaler. Dette innebærer at løsninger med felles behandlingsrettede helseregistre må kunne ivareta de grunnleggende kravene knyttet til konfidensialitet om pasientenes helseopplysninger.
|
|
Sikkerhetsprinsipper for autorisering |
|
2.5.1
|
I Helse Midt-Norge er det som hovedregel katalogtjenesten Active Directory som er autoritativ for rettigheter og tilganger |
|
2.5.2
|
Tilgangsstyring skal etableres for alle informasjonssystemer. Herunder også informasjonsbehandlingsutstyr. |
|
2.5.3 |
Helse Midt-Norge skal ha prosedyrer for tildeling av rettigheter og tilganger. |
|
2.5.4 |
Tilganger skal gis basert på roller og funksjoner. |
|
2.5.5 |
Autorisering skal skje for hver rolle uavhengig av personellets øvrige roller. |
|
2.5.6 |
Tilganger skal gis på et lavest mulig nivå, og basert på tjenstlig behov. |
|
2.5.7
|
Tilganger skal styres slik at taushetspliktreglene ivaretas og at tilgang til helse- og personopplysninger ikke gis til andre enn dem som har tjenstlig behov |
|
2.5.8
|
Tildelt autorisasjon skal sikre at den enkelte kan få tilgang til relevante og nødvendige helse- og personopplysninger i samsvar med personellets ansvar og oppgaver, så langt lovbestemt taushetsplikt ikke er til hinder for det. |
|
2.5.9
|
Tilganger skal være tidsbegrenset med utløpsdato for innleid personell, og skal ikke overskride innleieavtalens varighet |
|
2.5.10
|
Autorisasjonen skal vurderes på nytt når det oppstår endringer i ansvarsområder, ansettelsesforhold eller langvarig fravær. |
|
2.5.11 |
Tilganger skal fjernes når formålet opphører. |
|
2.5.12
|
Aksessrettigheter til informasjon og systemer for informasjonsbehandling for alle ansatte og brukere hos eksterne parter skal fjernes ved opphør av ansettelsesforholdet, kontrakten eller avtalen, eller korrigeres ved endringer. |
|
2.5.13
|
Tilganger, endringer i tilganger og hvem som beslutter endringer i tilganger skal registreres i et autorisasjonsregister. |
|
2.5.14
|
Helse Midt-Norge skal sørge for at det opprettes er autorisasjonsregister [3]som minimum inneholder: • informasjon om hvem som er tildelt autorisasjon • til hvilken rolle autorisasjonen er tildelt (om rolle benyttes i virksomheten) • formålet med autorisasjonen • tidspunkt for når autorisasjonen ble gitt og eventuelt tilbakekalt • informasjon om hvilken virksomhet den autoriserte er knyttet til helsepersonells autorisasjon for tilgang til helseopplysninger i annen virksomhet |
|
|
Spesielt for behandlingsrettede helseregistre |
|
2.5.15 |
Tilgang skal styres slik at taushetspliktreglene ivaretas og slik at tilgang til helse- og personopplysninger kun gis til autorisert personell som har tjenstlig behov. |
|
2.5.16 |
Lovbestemt taushetsplikt skal vurderes og ivaretas ved tildeling av autorisasjon. |
|
2.5.17
|
Behandlingsrettede helseregistre skal støtte attributtbasert tilgangskontroll der attributtene som benyttes til autorisasjon og tilgangskontroll minimum omfatter ansettelses- eller arbeidsforholdet til brukeren og rollen brukeren har i sitt påloggede arbeidsforhold. |
|
2.5.18
|
Rollen brukeren har i et behandlingsrettet helseregister skal avgjøre hvilken tilgang brukeren får til informasjonen og applikasjonsfunksjonene i det behandlingsrettede registeret. |
|
2.5.19
|
Attributtene som følger med identiteten til den ansatte/innleide ved pålogging l et behandlingsrettet helseregister, skal i tillegg kunne avgjøre hvilke tilganger den ansatte har til funksjonene i det behandlingsrettede helseregisteret. |
|
2.5.20 |
Behandlingsrettede helseregistre skal kunne ha roller som skiller på tilganger basert på • organisatorisk tilhørighet • pasienter under behandling, før behandling og etter behandling • arbeidsgruppetilhørighet |
|
2.5.21
|
Helse Midt-Norge skal opprette rutiner for tildeling av tilganger i behandlingsrettede helseregistre og stikkprøvekontroll av tilganger. |
|
2.5.22
|
Tilgang til behandlingsrettede helseregistre skal gis etter en konkret beslutning basert på om det er eller skal etableres tiltak for medisinsk behandling av pasienten. |
|
2.5.23 |
Autorisasjonen for tilgang til behandlingsrettede helseregister skal tidsbegrenses. |
|
2.5.24
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal skille dennes tilganger til pasienter i behandling på angitte organisasjonsenheter, fra tilgang i forkant og etterkant av behandling. |
|
2.5.25
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal gi mulighet for den ansatte selv å beslutte tilgang til ikke-aktive pasienter. |
|
2.5.26
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal gi mulighet for den ansatte til å beslutte tilgang for en kollega som selv ikke har tilgang til pasienten som ikke er under behandling. |
|
2.5.27
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal gi mulighet for tilgang til pasienter via «arbeidsgruppe» (organisering og gruppering av pasienter uten avhengighet i organisasjonens formelle enheter). |
|
2.5.28
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal gi mulighet for å eksplisitt beslutte tilgangen til pasienter begrenset til (skal kunne velge en eller flere kriterier samtidig): · hvilke sett av organisasjonsenheter pasienten tidligere har vært behandlet ved innen et foretak, eller hele foretaket under ett · hvilke sett av organisasjonsenheter pasienten tidligere har vært behandlet ved på tvers av flere foretak, eller inkludert et eller flere hele foretaket · gitte diagnoser/kombinasjoner av diagnoser, eller alle diagnoser · antall måneder/år tilbake i tid for når pasienten ble behandlet av gitt organisasjonsenhet · inkluder døde pasienter ja/nei · pasienter i et gitt pasientforløp |
|
2.5.29
|
Rollen den ansatte innehar i et behandlingsrettet helseregister skal gi mulighet for å delegere pasienter til en eksisterende arbeidsgruppe ut fra følgende utvalgskriterier: · pasienter som har vært behandlet ved gitte sett av organisasjonsenheter innen et foretak, eller hele foretaket under ett · pasienten som har vært behandlet ved gitte sett av organisasjonsenheter på tvers av flere foretak, eller et eller flere foretaket · pasienter med valgt kombinasjon(er) av diagnose- og prosedyrekoder, eller alle diagnoser · antall måneder/år tilbake i tid for når pasienten ble behandlet av gitt org. enhet · inkluder døde pasienter ja/nei · pasienter i et gitt pasientforløp |
|
2.5.30 |
Det skal være mulig å entydige identifisere hvem som er juridisk - og/eller medisinsk ansvarlig for en gitt pasient innen en juridisk enhet og på tvers av juridiske enheter involvert i pasientens behandling. |
|
2.5.31 |
Helseopplysninger, som gjøres tilgjengelig for læring og kvalitetssikring, skal begrenses til de opplysninger som er nødvendige og relevante for helsepersonellets egen læring eller for kvalitetssikring av helsehjelpen. |
|
|
Tilgangsstyring for enheter |
|
2.6.1
|
Tilganger til enheter skal styres (planlegges, gjennomføres, evalueres, korrigeres og dokumenteres) |
|
2.6.2 |
Enheter skal identifiseres sikkert og unikt med f.eks sertifikater |
|
2.6.3 |
HMN skal jobbe mot sikker autentisering av endepunkter, ved å ta i bruk løsninger som bygger på anerkjente standarder, som f.eks. 802.1x, EasyConnect, MAB (MAC authentication bypass), WebAuthn osv. |
|
2.6.4
|
HMN skal ha klare regler for hvilke nettverkssoner, ressurser og tjenester som enheter skal ha tilgang til. |
|
2.6.5
|
Medisinsk utstyr som behandler helse- og personopplysninger skal inkluderes i Helse Midt-Norges tilgangsstyring på linje med andre informasjonssystemer. |
|
2.6.6 |
Alle klienter skal ha maskinkonto i HMNs felles katalogtjeneste. Med klienter menes i denne sammenhengen servere, PCer, nettverksskrivere, mobile enheter, osv. |
Dette kapittelet gjelder kravstilling til applikasjoner som skal benytte identitets- og tilgangsstyring.
|
Sikkerhetsprinsipper for identitets- og tilgangsstyring |
|
|
2.7.1
|
Applikasjonen bør støtte moderne autentiseringsmekanismer for skytjenester, og herunder benyttelse av multifaktorautentisering (MFA). |
|
2.7.2
|
Alle eksternt eksponerte virksomhets- eller tredjeparts applikasjoner skal avkreve MFA. |
|
2.7.3
|
Applikasjonen skal støtte anerkjente standarder for federeringsteknologi (f.eks.SAML 2.0 eller OpenID Connect) som autentiseringsmekanisme. |
|
2.7.4
|
Ved pålogging til kliniske applikasjoner skal som minimum attributtene brukerID, organisasjons tilknytning og rolle tas imot og behandles for å etablere en sikkerhets-sesjon. |
|
2.7.5
|
Applikasjonen skal håndheve sikkerhets-sesjonen. Dette inkluderer, men er ikke begrenset til inaktivitet, start- og sluttidspunkt på token. |
|
2.7.6
|
Ved behov for ny eksplisitt autentisering (re-autentisering og/eller autentisering av annen bruker) i en allerede etablert sikkerhets-sesjon bør applikasjonens federeringsfunksjon benyttes. |
|
2.7.7
|
Tilgang til funksjonalitet og pasientdata i applikasjonen skal baseres på kombinasjon av brukers rolle og organisasjons tilknytning. I hovedsak gir rolle tilgang til funksjoner mens organisasjon styrer pasienttilgang. Dette støttes ved bruk av interne tilgangskontrollmekanismer og/eller ekstern autoriseringstjeneste. |
|
2.7.8
|
Applikasjonen skal spørre ekstern autoriseringstjeneste om det finnes en aktiv pasient-behandlerrelasjon dersom intern tilgangskontrollmekanisme ikke kan avgjøre tilgang. |
|
2.7.9
|
Dersom ekstern autoriseringstjeneste benyttes skal kall mot denne gjøres i henhold til internasjonale autoriseringsstandarder som f.eks. OAuth 2.0. |
|
2.7.10
|
Applikasjonen skal være i stand å tilpasse seg Helse Midt-Norges sikkerhetsarkitektur relatert til attributtbasert tilgangskontroll (ABAC). |
|
2.7.11
|
Ved nektet tilgang bør applikasjonen presentere begrunnelsen på en forståelig måte til sluttbruker. |
|
2.7.12 |
Applikasjonen må støtte en entydig regional bruker-ID for hver person (identitet). |
|
2.7.13
|
Applikasjonen bør støtte gruppering av rettigheter ved at roller for tilgang kan defineres og gis rettigheter slik at brukere kan tildeles roller i stedet for individuelle rettigheter. |
|
2.7.14
|
Applikasjonen skal støtte at det kan være flere roller og/eller organisasjoner knyttet l samme entydige bruker-ID. |
|
2.7.15
|
Applikasjonen skal støtte unik identifikator for entydig identifikasjon av organisasjonsenheter. |
|
2.7.16
|
Leverandøren skal tilpasse sitt produkt slik at tilganger kan differensieres på hvor den ansatte jobber til enhver tid. |
|
2.7.17
|
Applikasjonen skal støtte provisjonering (oppretting, lesing, endring og sletting) via standardisert programmeringsgrensesnitt (API). Programmeringsgrensesnittet skal: · være tydelig dokumentert · ha standardisert autentiseringsmekanisme · benytte kryptert kommunikasjon · kommunisere over HTTPS, LDAPS eller SQL over TLS Programmeringsgrensesnittet bør være REST-API over HTTPS tilnærmet SCIM-standarden |
|
2.7.18
|
APIet skal muliggjøre provisjonering av påloggingsklare brukere med forhåndsdefinerte standard tilganger uten behov for manuelle tilleggs-operasjoner. |
|
2.7.19
|
APIet bør muliggjøre tildeling av individuelle rettigheter i tillegg til standard-tilganger. |
|
2.7.20
|
Applikasjonen bør tilby et brukergrensesnitt for brukeradministrasjon, i tillegg til APIet. |
|
2.7.21
|
APIet skal muliggjøre uthenting av eksisterende data knyttet til bruker, rolle, organisasjon og tilganger fra applikasjonen. |
Den enkelte pasient skal kunne motsette seg at helseopplysninger blir brukt i den videre behandling av pasienten (rett til sperring). Behandlingsrettede helseregistre må dermed ha støtte for å sperre tilgang til helseopplysninger for en valgt pasient. Sperrede opplysninger skal kunne åpnes enten etter pasientens eget ønske eller dersom behandler vurderer at det foreligger “tungtveiende grunner” etter Pasient- og brukerrettighetsloven § 5-3.
I Pasientjournalloven § 7 må behandlingsrettede helseregistre være utformet slik at det oppfyller pasientens rett til å motsette seg behandling av helseopplysninger.
Manuell støtte i forkant for sperring:
· Journalansvarlig skal forklare pasienten konsekvensen ved sperring, og at det eventuelt kan ha betydning for videre helsehjelp. Dersom pasienten er samtykkekompetent, og har fått forklart konsekvensene, skal pasientens krav om sperring etterkommes. Journalansvarlig er person som omtalt i Helsepersonelloven § 39 andre ledd. Journalansvarlig skal være oppnevnt, og har ansvar for innhold av journal, og vil normalt være den som må vurdere krav om retting, sletting og sperring.
· Dersom ikke kravet etterkommes, skal det sendes informasjon til pasienten om retten til å klage til helsetilsynet i fylket.
Behandlingsrettede helseregistre må derfor understøtte at pasienten kan detaljere hvem som ikke skal kunne ha tilgang i sin journal og hvilken informasjon det skal begrenses innsyn i.
Tabellen under gir kravene til slik sperring. Kravene gjelder både internt i et helseforetak og mellom helseforetak. Kravene skal anvendes både på eksisterende informasjon og dokumenter og framtidig informasjon og dokumenter som skal etableres.
|
Spesielt for behandlingsrettede helseregistre |
||
|
2.8.1 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å begrense tilgangen til journalen til en pasient, slik at en navngitt person, eksempelvis nabo eller nær slektning, ikke skal ha tilgang til hele eller utvalgte deler av journalen til pasienten. |
|
|
2.8.2 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å begrense tilgangen til journalen til en pasient, slik at utelukkende enkeltpersoner eller enkeltpersoner i en gitt rolle, eksempelvis alle leger, skal ha tilgang til journalen til pasienten, og dermed sperre tilgangen for alle andre. |
|
|
2.8.3 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å begrense tilgangen til journalen til en pasient, slik at kun ansatte som tilhører en eller flere organisasjonsenheter, eksempelvis avdeling på et lokalsykehus, skal ha tilgang til journalen til pasienten, og dermed sperre tilgangen for alle andre brukerne. |
|
|
2.8.4 |
Kriteriene i krav 5.8.2 og 5.8.3 skal kunne kombineres for å definere hvem som skal gis tilgang til journalen til en pasient, og dermed sperre tilgang for alle andre. |
|
|
2.8.5 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å begrense tilgangen til journalen til pasienten, slik at alle enkeltpersoner eller enkeltpersoner i en gitt rolle, eksempelvis sykepleier eller fysioterapeut, ikke skal ha tilgang til journalen til pasienten, og dermed sperre tilgangen for disse brukerne. |
|
|
2.8.6 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å begrense tilgangen til journalen til pasienten, slik at ansatte tilhørende en eller flere organisasjonsenheter, eksempelvis en avdeling, lokalsykehus eller foretak, ikke skal ha tilgang til journalen til pasienten, og dermed sperre tilgangen for disse brukerne. |
|
|
2.8.7 |
Kriteriene i krav 5.8.5 og 5.8.6 skal kunne kombineres for å definere hvem som ikke skal gis tilgang til journalen til en pasient. |
|
|
2.8.8 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å sperre tilgangen for en periode, inkludert på ubestemt tid fremover, til enkelte dokumenter i journalen. Kravet skal kunne gjennomføres på dokumenter sperret etter alle kriteriene angitt, ref. kravsettene angitt under 5.8.1-5.8.7. |
|
|
2.8.9 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å sperre tilgangen for en periode, inkludert på ubestemt tid fremover, til enkelte dokumenttyper som vil bli opprettet i journalen. Kravet skal kunne gjennomføres på dokumenter sperret etter alle kriteriene angitt, ref. kravsettene angitt under 5.8.1-5.8.7 |
|
|
2.8.10 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient å sperre tilgangen for alle dokumenter som er opprettet i en definert periode i journalen. |
|
|
2.8.11 |
Det skal være mulig i et behandlingsrettet helseregister etter forespørsel fra en pasient kun å gi tilgang for alle dokumenter som er opprettet i en definert periode i journalen. |
|
Med sporbarhet menes å kunne bevare nødvendige detaljer knyttet til en handling, herunder uavviselighet. Dataansvarlig og databehandler skal sørge for tilgangsstyring, logging og etterfølgende kontroll i behandlingsrettede helseregister. Bruk av informasjonssystem skal dokumenteres. Dette følger av Pasientjournalloven § 22 og Pasientjournalforskriften § 14. Det stilles videre krav om at loggene skal kontrolleres.
Det følger av Pasientjournalloven § 18 at pasienten eller brukeren har krav på informasjon og innsyn i behandlingsrettede helseregistre. Dette omfatter også innsyn i hvem som har fått tilgang til eller utlevert helseopplysninger om vedkomne. Behandlingsrettede helseregistre må derfor understøtte krav om sporbarhet på hvem som har fått tilgang til eller utlevert helseopplysninger.
For nærmere beskrivelse av krav og retningslinjer for logging i HMN, se dokumentet «Krav og retningslinjer for logging og overvåkning i Helse Midt-Norge» i EQS (Link)
|
Sikkerhetsprinsipper for sporbarhet |
|
||
|
|||
|
2.9.1 |
Alle handlinger som kan ha betydning for informasjonssikkerheten i systemet skal logges. Dette inkluderer, men er ikke begrenset til: • Alle typer innlogginger, inkl. forsøk på innlogginger • Oppretting, endring og sletting av informasjonsobjekter • Oppretting, endring og sletting av andre brukere • Innsyn eller endring i helseopplysninger • Endringer, eller forsøk på endringer, i systemkonfigurasjonen • Sikkerhets-eventer, avvik og fravik |
|
|
|
2.9.2 |
Endringer i en tjeneste skal dokumenteres i systemdokumentasjonen, og endringer som påvirker informasjonssikkerheten skal risikovurderes. |
|
|
|
2.9.3 |
Logging skal legge til rette for at helseforetakene kan avdekke sikkerhetsbrudd og forsøk på misbruk skal kunne oppdages. |
|
|
|
2.9.4 |
Logger skal tilgangsstyres slikt at de beskyttes mot manipulering/endring. |
|
|
|
2.9.7
|
Logger skal gjennomgås manuelt eller automatisk basert på forhåndsdefinerte kriterier. |
|
|
|
2.9.9
|
Logger skal oppbevares i tråd med krav fastsatt i lov eller avtale Pasientjournallogger og andre logger knyttet til behandlingsrettede registre, skal lagres like lenge som journalen loggen er knyttet til. |
|
|
|
Spesielt for behandlingsrettede helseregistre |
|
||
|
|||
|
2.9.10 |
Følgende skal som minimum logges: • Autorisert bruk av informasjonssystemene • All system- og administratorbruk til informasjonssystemer og infrastrukturen • Endring av konfigurasjon og programvare • Sikkerhetsrelevante hendelser i sikkerhetsbarrierer • Forsøk på uautorisert bruk av informasjonssystemer og infrastrukturen • Bruk av selvautorisering I dette ligger at som minimum skal følgende konkrete aktiviteter logges:
|
|
|
|
2.9.11
|
Det skal etableres tiltak slik at mulig misbruk av autorisert teknisk personell, med særskilt behov for tilgang til større mengder helse- og personopplysninger skal kunne avdekkes. |
|
|
|
2.9.12 |
Bruk av selvautorisering skal grunngis og registreres. |
|
|
|
2.9.14 |
I pasientens journal skal det dokumenteres hvilke opplysninger som er tilgjengeliggjort for læring og kvalitetssikring og hvem de er tilgjengeliggjort til. |
|
|
|
2.9.15 |
Det skal være mulig manuelt og automatisert å hente ut loggdata fra behandlingsrettede helseregistre. |
|
|
|
2.9.16 |
Tjenestekonsumenter fra andre juridiske enheter som bruker delsystemene i løsningen, skal kunne spores i regional klinisk løsning, samt i den plattformen og de infrastrukturtjenester som utgjør sikkerhetsarkitekturen. |
||
|
2.9.17 |
Avsender bør kunne digitalt signere utvalgte dokumenter med kvalifisert sertifikat (ikke-benekting). |
|
|
|
Revisjon og kontroll av tilganger |
||
|
2.10.1
|
Helse Midt-Norges ledelse skal påse at det jevnlig gjennomføres kontroll av hvem som har hatt elektronisk tilgang. Behandlingsrettet helseregister må ha funksjonalitet slik at kontrollen kan gjennomføres effektivt. |
|
|
2.10.2
|
Dersom logging og overvåkning av medarbeideres tilgangsaktiviteter gjennomføres i virksomheten skal medarbeideren varsles om dette på forhånd. |
|
|
2.10.3 |
Tildeling og bruk av privilegerte aksessrettigheter skal begrenses og kontrolleres. |
|
|
2.10.4
|
Gjennomgang og kontroll av tilgangsstyring, herunder tildelte autorisasjoner, skal foretas av den enkelte leder eller eier av aktiva: • ved organisasjonsendringer, overflytting av personell til annen enhet/avdeling eller endring av arbeidsområde • minimum årlig (f.eks. i forbindelse med sikkerhetsrevisjon) • ved sikkerhetsbrudd for det som blir berørt av bruddet |
|
|
2.10.5
|
Kontoer, tilganger og rettigheter bør revideres jevnlig. Dette er spesielt kritisk mht. kontoer, tilganger og rettigheter for drift og spesialbrukere. |
|
|
2.10.6
|
Gjentagende gjennomganger av service-kontoer skal utføres for å validere at alle aktive kontoer er autorisert, minst kvartalsvis eller oftere. |
|
|
2.10.7
|
Detekter og følg opp kontoer som ikke har blitt brukt på lenge dersom de ikke er nødvendige (overvåk unntak som f.eks. en leverandørs vedlikeholds-konto). |
|
|
2.10.9 |
Dersom kontrollen fører til mistanke om at det har skjedd en urettmessig tilgang, skal Helse Midt-Norges ledelse varsles gjennom gjeldende rutiner for avvikshåndtering. |
|
|
2.10.10
|
Ved mistanke om urettmessig tilgang skal hendelsen behandles iht. etablerte rutiner for avviksbehandling, særlig med henblikk på å få avklart om eksisterende tilgangskontroll er god nok. |
|
|
2.10.11 |
Misbruk av selvautorisering skal følges opp som avvik. |
|
|
2.10.12
|
Ved bruk av tilgang til helseopplysninger mellom virksomheter skal avtalepartene samarbeide om kontroll av tilganger. |
|
|
2.10.13
|
Den dataansvarlige som har adgang til å autorisere helsepersonell for tilgang, skal løpende kontrollere: • hvem i egen virksomhet som elektronisk har hentet frem helseopplysninger fra annen virksomhet • hvorfor dette er gjort • tidsperioden helseopplysningene er hentet frem |
|
|
2.10.14
|
Dersom kontrollen viser at noen urettmessig har hentet frem helseopplysninger, skal virksomheten opplysningene er hentet fra varsles. |
|
|
2.10.15
|
Dersom kontrollen viser at noen urettmessig har hentet frem helseopplysninger, skal pasienten/brukeren opplysningene gjelder varsles. |
|
|
2.10.16 |
Avviket (urettmessig innsyn i helseopplysninger) skal behandles iht. etablerte rutiner for avviksbehandling. |
|
|
Bruk av privilegerte hjelpeprogrammer |
||
|
2.11.1
|
Bruk av privilegerte hjelpeprogrammer som kan overstyre sikringstiltak i systemer og applikasjoner, skal være begrenset og strengt kontrollert. |
|
|
Tilgangskontroll for programkildekode |
||
|
2.12.1 |
Aksess til programkildekode skal være begrenset til utviklere, arkitekter og lignende roller som rettmessig håndterer og kvalitetssikrer kode. |
|
|
Tilgangskontroll mellom virksomheter |
||
|
2.13.1
|
Helse Midt-Norge skal ha kontroll og oversikt over all tilgjengeliggjøring av helse- og personopplysninger til andre virksomheter |
|
|
2.13.2
|
Det skal gjennomføres risikovurdering ved oppstart eller endring av tilgjengeliggjøring av opplysninger for andre virksomheter. |
|
|
2.13.3
|
Dataansvarlig og virksomhetene som gis tilgang til opplysninger hos dataansvarlig, skal avklare gjennom avtale eller på annen måte hvordan: · autentisering skal foregå på sikker måte · autorisering til helseopplysninger hos dataansvarlig skal foregå · logging og oppfølging av logger skal foregå |
|
|
Sikkerhetsprinsipper ved datadeling |
||
|
2.13.4
|
Det må være en sikker brukerautentisering som virksomhetene som tilbyr datadelingsgrensesnitt har tillit til |
|
|
2.13.5
|
Virksomheten som ber om tilgang skal kontrollere at brukeren har nødvendige autorisasjoner for det aktuelle datadelingsgrensesnittet |
|
|
2.13.6
|
Det skal skilles mellom lese- og skriverettigheter til forskjellige informasjonselementer basert på den enkelte brukerautorisasjon |
|
|
2.13.7 |
Unødvendig mellomlagring skal unngås |
|
|
2.13.8
|
Det skal være mulig å kunne verifisere legitimiteten til datadelingsgrensesnittet og virksomheten som tilbyr den |
|
|
2.13.9
|
Felleskomponenter for autentisering av konsument skal benyttes der det er tilgjengelig og hensiktsmessig |
|
[1] Domeneadministratorkontoen brukes til å logge på domenekontrolleren og har utvidede rettigheter til domeneressurser i forhold til en «standard» administratorkonto.
[2] Interaktive i denne sammenheng betyr at systemet gir respons tilbake til brukeren dersom opprettelsen av passord ikke oppfyller krav til prosess, kvalitet eller input. F.eks. stenge pålogging ved 3 mislykkede forsøk, tvinge bytte av passord ved faste intervaller eller avvise passord som ikke tilfredsstiller definerte krav eller styrke.
[3] Et register eller oversikt over hvilke autorisasjoner (tilganger) som er gitt. Hvem som er gitt tilgang til hva, og hvem som har gitt tilganger.