Innholdsfortegnelse
1.4 Øvrige relevante dokumenter og krav
2. Krav og retningslinjer for klassifisering av informasjon og informasjonssystemer
2.1.1 Modellen for konfidensialitet og forholdet til lovverket
2.1.2 Bruk av følsomhetsetiketter i samhandlingsløsninger (M365)
2.1.3 Bruk av følsomhetsetiketter i risikovurderinger
2.1.4 Modellen for følsomhetsetiketter
2.1.5 Krav til sikring for de ulike følsomhetsetiketter
2.2.1 Sikkerhetsklasser for tilgjengelighet til informasjon og informasjonssystemer
2.2.2 Utfyllende krav til klassifisering av tilgjengelighet
2.3.1 Sikkerhetsklasser for integritet
2.3.2 Krav til sikring av integritet
Formålet med dette dokumentet:
· Sammenstille og beskrive regionale krav og retningslinjer for klassifisering av informasjon og informasjonssystemer i Helse Midt-Norge (HMN).
· Sikre at HMN er i samsvar med relevante lover og regelverk, samt Norm for informasjonssikkerhet i helsesektoren (Normen) innenfor dette temaområdet.
· Etablere felles modell for klassifisering av informasjon og informasjonssystemer i HMN.
Krav og retningslinjer i dette dokumentet gjelder for alle virksomheter og nivå i HMN, og inngår som del i det regionale styringssystemet for informasjonssikkerhet og personvern.
Omfanget i dette dokumentet er begrenset til klassifisering av konfidensialitet, integritet og tilgjengelighet knyttet til håndtering og beskyttelse av informasjon og informasjonssystemer i HMN. Modellene for klassifisering skal også benyttes ved verdivurderinger i forbindelse med gjennomføring av risikovurderinger i HMN (ref. link).
Kapittel 2.1 beskriver en modell for konfidensialitet som benytter følsomhetsetiketter. Følsomhetsetikettene skal benyttes av medarbeidere ved håndtering av informasjon i HMNs samhandlingsverktøy (f.eks. M365) og ved gjennomføringen av risikovurderinger knyttet til behandling av informasjon og informasjonssystemer.
Kapittel 2.2 beskriver en modell for klassifisering, som skal benyttes til å beskrive krav til systemenes tilgjengelighet, konsekvensen av bortfall og kravene til tjenestenivå (SLA) for hver av klassene. Dette skal inngå som del av risikovurderinger av informasjonssikkerhet i HMN (ref. link).
Kapittel 2.3 beskriver en modell for klassifisering av integritet, som kan benyttes ved risikovurderinger (ref. link). og vurderinger av sikringstiltak for informasjon og informasjonssystemer.
Målgruppen for dokumentet er alle medarbeidere i HMN som skal klassifisere eller tilrettelegge for klassifisering av informasjon og informasjonssystemer, samt gjøre analyser i forbindelse med risikovurderinger. For å gjøre det enklere for sluttbrukere å forstå og benytte klassifiseringsmodellene skal det utarbeides tilpassede veiledninger basert på kravene gitt i dette dokumentet.
Dette dokumentet med krav og retningslinjer skal ikke benyttes ved arkivering av arkivverdige dokumenter. I den sammenheng skal medarbeidere følge regler for arkivering i arkivsystemet i HMN.
For både digitale og fysiske dokumenter er alle medarbeidere ansvarlig for å vurdere, behandle og lagre disse i henhold til kravene. Kravene og retningslinjene omfatter informasjon uavhengig av mediet informasjonen er tilgjengelig på.
Ansvaret for å definere riktig klassifiseringsnivå på informasjon ligger på den enkelte som eier informasjonen.
For IT-systemer er foretakets leder hovedansvarlig for klassifisering av systemer med hensyn på konfidensialitet, tilgjengelighet og kritikalitet. Systemeier skal sørge for at det gjennomføres en vurdering av hvilke konfidensialitetsklasser et system eller tjeneste skal godkjennes for. Dette gjøres gjennom risiko- og sårbarhetsvurderinger, der bl.a. behov for tilgjengelighet, integritet og konfidensialitet skal vurderes. IT-ansvarlige kan bistå i risiko- vurderingen.
|
Nr. |
Dokumentnavn: |
Link til dok. |
|
1 |
Vedlegg B1 Veileder for gjennomføring av risikovurderinger i Helse Midt-Norge |
|
|
2 |
Vedlegg B2 MAL Rapport for risikovurdering av informasjonssikkerhet i HMN |
|
|
3 |
Normen versjon 6.x kap. 5.9 om nødrutiner |
Manglende samsvar og etterlevelse av krav og retningslinjer i dette dokumentet skal meldes som avvik i henhold til Helse Midt-Norge (HMN)s rutiner for avviksmeldinger.
Dokumentet skal revideres årlig.
Forklaring/definisjoner av forkortelser, ord og begreper benyttet i dette dokumentet:
|
Begreper |
Forklaring/definisjon |
|
Informasjon |
Her: Informasjon er en samling av data i en forståelig form som gjør det mulig å kommunisere. Dette kan være innhold i alle formater – skrevet eller trykt på papir, lagret i elektroniske dokumenter eller databaser, samlet på Internett osv. |
|
Informasjonssystemer |
Her: system for innsamling, lagring, behandling, overføring og presentasjon av informasjon |
|
Dokument |
Her: En logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, visning, overføring eller liknende (jfr. Offentleglova § 4). |
|
Saksdokument |
Her: Saksdokument for organet er dokument som er kommet inn til eller lagt fram for et organ, eller som organet selv har opprettet, og som gjelder ansvarsområdet eller virksomheten til organet (jfr. Offentleglova § 4). |
|
Arkivverdige dokument/informasjon |
Arkivverdige dokumenter er dokumenter som enten er gjenstand for saksbehandling eller som på annen måte kan ha verdi som dokumentasjon. |
|
Forhåndsklassifisering |
En forhåndsklassifisering innebærer at man vurderer et saksdokument opp mot unntaksbestemmelsene i offentlighetsloven, selv om det ikke er begjært innsyn i dokumentet, og lar forhåndsvurderingen komme til uttrykk på selve dokumentet e l og i journalen, f eks gjennom anmerkningen «u.off. jf § 5 annet ledd bokstav c» e l. Kilde: G-69/98 - regjeringen.no |
Klassifisering skal bidra til bevisstgjøring på hvordan informasjon skal behandles, og gi en tryggere behandling av informasjon som har behov for beskyttelse. Videre vil klassifisering bidra til en mer strukturert og nivåbasert oversikt over hvilke informasjonsverdier foretakene forvalter.
Klassifisering skal sikre at informasjon, dokumenter og IT-systemer beskyttes i henhold til foretakets sikkerhetsbehov og pålagte krav. Pålagte krav inkluderer lovkrav, avtalekrav og andre styringskrav som foretakene er forpliktet til å følge.
Klassifiseringen skal også legge til rette for en effektiv bruk av ressurser for sikring av informasjon, dokumenter og IT-systemer, ved å klassifisere disse for prioritering av sikkerhetstiltak. Sikkerhetstiltakene skal være forholdsmessige.
Konfidensialitet i denne sammenheng handler om å sikre at informasjon kun er tilgjengelig for de som skal ha tilgang til den. For å få til dette må man først identifisere hva slags informasjon man behandler. Deretter må man merke, sikre og håndtere informasjonen slik at den kun er tilgjengelig for de med rettmessig tilgang og tjenstlig behov.
Modellen for konfidensialitet som er beskrevet under kapittel 2.1.4, skal benyttes for flere formål. Et av formålene er å tilrettelegge for at medarbeidere selv skal kunne foreta en vurdering av følsomhet for den informasjonen de behandler i samhandlingsløsninger og ha mulighet for merke og håndtere denne ved hjelp av følsomhetsetiketter. Et annet formål med modellen er at medarbeidere som gjennomfører risikovurderinger skal kunne benytte modellen for å klassifisere informasjon og informasjonsverdier med hensyn på konfidensialitet.
Hovedregelen i Offentleglova er at forvaltningens saksdokumenter skal være offentlige. Informasjon skal/kan derimot unntas offentlighet dersom det gjøres med hjemmel bla. i Offentleglova kapittel 3, §13-26. Taushetsbelagte opplysninger skal alltid unntas offentlighet jfr. § 13.
Arkivverdig informasjon i HMN skal håndteres i arkivsystemet. Dette skal blant annet sikre at informasjon blir arkivert og eventuelt unntatt offentlighet i henhold til korrekt unntaksparagraf i Offentleglova og i henhold til øvrig lovverk med forskrifter (som arkivlova og forvaltningslova med flere). Arkivfunksjonen har egne retningslinjer for bruk av tilgangskoder som i kombinasjon med unntakshjemmel benyttes for å skjerme sensitiv informasjon for uberettiget innsyn. Disse retningslinjene er ikke beskrevet og omfattet av dette dokumentet.
Modellen for konfidensialitet i dette dokumentet benyttes som en enkel form for følsomhetsvurdering ved bruk av følsomhetsetiketter (kap. 2.1.2 og 2.1.4), der hensikten er at medarbeideren ved bruk av samhandlingsløsninger enkelt skal kunne vurdere og håndtere følsom informasjon uten at dette anses som forhåndsklassifisering[1].
Informasjon gradert etter Sikkerhetsloven har egne krav til klassifisering (sikkerhetsgrader) og skal i HMN enten behandles manuelt som utskrifter eller elektronisk i Nasjonalt Begrenset Nett (NBN) driftet av Forsvarsdepartementet, og er derfor ikke beskrevet og omfattet av dette dokumentet.
Informasjon gradert etter Beskyttelsesinstruksen har egne krav til klassifisering og gjelder for behandling av dokumenter som trenger beskyttelse av andre grunner enn de som er nevnt i Sikkerhetsloven. Beskyttelsesinstruksen gjelder kun for Statsforvaltningen og siden HMN med underliggende foretak er direkte statseide selskap (egne rettssubjekter), regnes ikke HMN med underliggende foretak som en del av statsforvaltningen. HMN RHF, underliggende foretak og Helseplattformen har derfor ingen plikt til å følge Beskyttelses-instruksen og klassifisering av informasjon etter. Beskyttelsesinstruksen er derfor ikke beskrevet og omfattet av dette dokumentet.
Klassifiseringen Fortrolig og Strengt Fortrolig fra Beskyttelsesinstruksen er allikevel benyttet som de to strengeste følsomhetsetikettene i dette dokumentet og er harmonisert opp mot beskyttelsesinstruksen med mål om å benytte instruksen som beste praksis for klassifisering av konfidensialitet, uten juridisk binding til instruksens krav.
For å gjøre det lettere for den enkelte medarbeider å vurdere graden av konfidensialitet knyttet til informasjon de behandler, har HMN valgt å innføre en modell for bruk av følsomhetsetiketter i samhandlingsløsninger. Ved hjelp av modellen skal medarbeideren kunne vurdere og fastslå hvilken følsomhetsklasse informasjonen tilhører og deretter behandle, lagre eller dele informasjonen sikkert i henhold til fastlagte retningslinjer. Dette er spesielt tilrettelagt i samhandlingsløsningen M365, der medarbeidere kan merke, kryptere og lagre dokumenter basert på forhåndsinnstillinger for de ulike følsomhetsetikettene. I samhandlingsløsninger skal kun de tre første nivåene i modellen benyttes - åpen, intern og fortrolig. Strengt fortrolig krever særskilt behandling og skal ikke behandles eller lagres i samhandlingsløsninger.
Bruk av følsomhetsetiketter må ikke forveksles med bruken av tilgangskoder som benyttes i forbindelse med arkivering av arkivverdig materiale. Ved arkivering må følsomhetsetiketten fjernes og erstattes med korrekt tilgangskode i arkivsystemet, slik at arkivverdige dokumenter blir arkivert i henhold til arkivreglene. Det skal finnes prosedyrer som beskriver hvordan fjerning av følsomhetsetikett og arkivering med tilgangskoder skal utføres, slik at konfidensialiteten for informasjonen blir kontinuerlig ivaretatt.
Det skal finnes veiledninger som støtter bruken av følsomhetsetikettene i samhandlingsplattformen basert på modellen i kap. 2.1.4.
Modellen for følsomhetsetiketter skal også benyttes for å vurdere graden av konfidensialitet/sensitivitet for ulike typer informasjonsverdier som del av arbeidet med risikovurderinger og ved utarbeidelsen av risikoreduserende tiltak. (Dette kommer i tillegg til vurderingen av informasjonsverdienes kritikalitet mhp. tilgjengelighet (se kap. 2.2) og kravet til integritet (kap. 2.3)). Se for øvrig kapittel 5.1.2.1 om klassifisering i Veileder for gjennomføring av risikovurderinger i HMN: ( link)
|
Kategori |
Nivå |
Beskrivelse |
Eksempler (ikke utfyllende) |
|
Åpen |
1 Grønn |
Informasjonen medfører ingen fare for skade ved kjennskap.
Alle andre typer data, som kan eksponeres utenfor virksomheten. |
Nyhetsbrev Hjemmeside/internettside Kontaktopplysninger Offentlig styrereferat Årsmelding/pressemelding *(Informasjonsklasse 5) |
|
Intern |
2 Gul |
Generell virksomhetsdata som ikke er taushetsbelagt og kan utleveres etter vurdering i henhold til offentleglova.
Informasjon kan deles i regionen, virksomhetsgruppen og med eksterne samarbeidspartene. |
Intranett Generelle ansatt-/person-opplysninger (navn, bilde, e-post, telefon) Vaktliste E-poster Generelle retningslinjer, rutiner og prosesser Lønn Overordnet løsningsdesign Anonymiserte data *(Informasjonsklasse 2 a/b + klasse 4)) |
|
Fortrolig |
3 Rød |
Informasjon som omfatter særlige kategorier av personopplysninger, og virksomhetssensitiv data.
Taushetsbelagt informasjon
Informasjon som kan skade enkeltperson, virksomhet, regionen eller samarbeidspartnere.
Tilgang til informasjon skal skje basert på tjenstlig behov.
I utgangspunktet er informasjon unntatt offentlighet, men kan fravikes etter konkrete vurderinger. |
Helseopplysninger Rase/etnisk opprinnelse Politisk og religiøs oppfatning Genetiske og biometriske data Seksuell orientering Filosofisk overbevisning Fagforening Adressekode 7 Personalmapper/saker Lønnsoppgave Fødselsnummer Risiko- og sårbarhetsvurderinger Resultat av sikkerhetsrevisjoner Sikkerhetslogger Konfigurasjonsfiler Beredskapsplaner Anbudsdokumenter Indirekte identifiserbare helseopplysninger *(informasjonsklasse 1 a og b + klasse 3) |
|
Strengt fortrolig |
4 Svart |
Informasjon som kan medføre betydelig skade for enkeltperson, virksomhet, regionen eller samarbeidspartnere.
Virksomhetskritiske data som kan påføre direkte skade for virksomheten.
Tilgang til informasjon skal skje basert på tjenstlig behov.
Informasjon er alltid unntatt offentlighet. |
Adressekode 6 Penetrasjonstest-rapport eller andre opplysninger om kritiske sårbarheter i teknisk infrastruktur
Kategorien «Strengt fortrolig» benyttes ikke i samhandlingsløsninger og skal kun håndteres i henhold til strenge rutiner. Ta kontakt med informasjonssikkerhetsansvarlig i foretaket.
|
*Referanse til tidligere informasjonsklasser benyttet i HMN som er erstattet av følsomhetsetikettene over.
Dagens skybaserte samhandlingsløsninger støtter bruk av teknologi og sikkerhetsmekanismer slik som kryptering av informasjonselementene som en konsekvens av at informasjonen (eks. et dokument) merkes med en følsomhetsetikett.
Følsomhetsetikettene skal knyttes til sikkerhetstiltak som beskrevet under. Tiltak skal uansett baseres på en risikovurdering.
|
Etikett |
Nivå |
Sikkerhetstiltak |
|
Åpen |
1 Grønn |
- Ingen kryptering
|
|
Intern |
2 Gul |
- Ingen kryptering - Bruker er selv ansvarlig for å holde informasjonen tilstrekkelig beskyttet - Lagringssted skal inneholde nødvendige sikkerhetstiltak for tilgang og ha tilstrekkelig tilgangsstyring
|
|
Fortrolig |
3 Rød |
- Kryptering - Preventive og monitorerende verktøy benyttes - Mulighet for å kunne velge mottaker per dokument og epost - Mulighet for å kunne velge målgruppe "Alle Ansatte" eller "Virksomhet» etc. - Detaljnivå av beskyttelse kan styres av den enkelte virksomhet
|
|
Strengt fortrolig |
4 Svart |
- Kryptering - Som fortrolig - Strengt fortrolig informasjon skal aldri behandles og lagres i samhandlingsplattformer, men i henhold til retningslinjer i arkivfunksjonen, samt klarert på riktig nivå.
|
Manglende tilgjengelighet til informasjonssystemene kan medføre skader både for
foretakene, foretakenes autoriserte brukere, pasienten/brukeren ved ytelse av
helsehjelpen og den registrerte. Foretakene skal sørge for at nødvendige helse- og personopplysninger er tilgjengelige.
Ved gjennomføring av risikovurderinger skal konsekvensen for tilgjengeligheten til informasjons og informasjonssystemer vurderes og kravene til tilgjengelighet vurderes eller fastslås basert på modellen for klassifisering av tilgjengelighet. Modellen skal også benyttes som grunnlag for vurdering av IKT beredskapstiltak i foretakene.
Tjenester skal klassifiseres basert på tilgjengelighetskrav. Kravene skal spesifiseres i tjenestebeskrivelsen. For hver av sikkerhetsklassene under er det angitt hvilket tjenestenivå som korresponderer med klassen. Systemeier er ansvarlig for klassifisering av sine systemer.
Systemer skal klassifiseres etter følgende prioritering;
|
SIKKERHETSKLASSER FOR TILGJENGELIGHET |
||||
|
Krav til tilgjengelighet |
||||
|
1 – SVÆRT HØY |
2- HØY |
3- MODERAT |
4 - LAV |
5 - INGEN |
|
Konsekvens for tilgjengelighet til informasjon og informasjonssystemer[2] |
||||
|
KRITISK |
ALVORLIG |
MODERAT |
LAV/AKSEPTERBAR |
IKKE PIORITERT |
|
Systemer hvor stopp av tjeneste kan være kritisk, som: • livstruende for pasient • kritisk for virksomhetens drift |
Systemer hvor stopp av tjeneste får alvorlige konsekvenser, som: • økt risiko for feil behandling av pasient • utsettelse av utredning og behandling som kan gå ut over liv og helse • betydelig merarbeid for personell • tapte inntekter for virksomheten |
Systemer hvor stopp av tjeneste får moderate konsekvenser, som: • forsinkelser i utredning og behandling uten alvorlige helsekonsekvenser • noe merarbeid for personell • tapte inntekter for virksomheten • redusert omdømme • svekket tillit • tapt effektivitet |
Systemer hvor lengre stopp kan aksepteres |
Systemer som ikke prioriteres |
|
Krav til tjenestenivå/SLA |
|
|||
|
Tjenestenivå/SLA 1 |
Tjenestenivå/SLA 2 |
Tjenestenivå/SLA 2 |
Tjenestenivå/SLA 3 |
NA |
|
Maksimal avbruddstid |
|
|||
|
Maksimal avbruddstid følger av dokumenterte krav ift Tjenestenivå |
|
|||
|
Utfyllende krav til klassifisering av IKT-/informasjons-systemer |
|
|
2.2.1.1 (Normen 3.3 og 5.9) |
For å kunne etablere nødrutiner som skal ivareta tilgjengelighet ved bortfall skal virksomheten kartlegge konsekvensene av bortfall av informasjon og informasjonssystemer, samt klassifisere systemene. Dette skal vurderes både for virksomheten og for dens autoriserte brukere. |
|
2.2.1.2 (Normen 5.9) |
Det skal kartlegges hvilke andre systemer og hvilken infrastruktur de klassifiserte systemene og tjenestene er avhengige av. Disse skal ha samme klassifisering og sikkerhetsnivå som for de klassifiserte systemene. |
|
2.2.1.3 (Normen 5.9) |
For hver aktuell klassifisering skal ledelsen beslutte akseptabel risiko for tilgjengelighet. Som minimum skal det fastsettes maksimal avbruddstid. |
|
2.2.1.4 (Normen 5.9) |
Med utgangspunkt i klassifiseringen av informasjonssystemene skal virksomheten etablere nødrutiner: • Alternativ drift uten bruk av informasjonssystemene. • Alternativ drift med delvis støtte fra informasjonssystemene. Nødrutinene skal øves på, testes, revideres og oppdateres minst en gang i året. |
Dersom det er krav til at informasjonen ikke skal endres av uvedkommende eller ved et uhell, må den sikres spesielt. Integritet betyr i denne sammenheng å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende.
I forbindelse med gjennomføring av risikovurderinger, skal konsekvensen for informasjonens integritet vurderes og informasjonen angis i riktig sikkerhetsklasse for integritet. Plassering i riktig klasse vil angi kravet til integriteten for informasjonen og hvilke forholdsmessige sikringstiltak som skal vurderes.
Følgende sikkerhetsklasser for integritet skal benyttes i HMN:
|
SIKKERHETSKLASSER FOR INTEGRITET |
|||
|
KRAV TIL INTEGRITET |
|||
|
1 - LAV |
2- MODERAT |
3- HØY |
4 – SVÆRT HØY |
|
KONSEKVENS Konsekvensområder: pasientsikkerhet, HMS/arbeidsmiljø, personvern, ytre miljø, drift/tjenesteproduksjon, kapasitet, straff/sanksjoner/erstatningsansvar, økonomi, tillit/omdømme |
|||
|
Brudd på integriteten medfører eller kan medføre ubetydelig eller ingen konsekvens for ett eller flere av konsekvensområdene. |
Brudd på integriteten medfører eller kan medføre moderat konsekvens for ett eller flere av konsekvensområdene. |
Brudd på integriteten medfører eller kan medføre alvorlig konsekvens for ett eller flere av konsekvensområdene.
|
Brudd på integriteten medfører eller kan medføre svært alvorlig konsekvens for ett eller flere av konsekvensområdene.
|
|
HJELP TIL VURDERING |
|||
|
Feil påvirker ikke behandling eller beslutningsprosesser Arbeidsdokumenter, hvor feil i informasjonen ikke får negativ konsekvens i beslutningsprosesser hos den/de som benytter informasjonen |
Den som benytter informasjonen, forventer at den er autentisk og gyldig. Feil i informasjonen kan gi moderate helseskader og feilbehandling, økonomiske skader og/eller svekket omdømme for foretakene, enkeltindivider eller samarbeidspartnere. |
Den som benytter informasjonen, er avhengig av at den er autentisk og gyldig. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger slik at det kan medføre betydelig pasientskade, feilbehandling, økonomisk tap, omdømmetap eller annen skade for foretakene, enkeltindivider eller samarbeidspartnere. publikasjoner hvor autentisitet er svært viktig |
Det er av kritisk betydning at det avleveres autentisk og gyldig informasjon. Utilsiktet eller tilsiktet feilinformasjon vil kunne føre til feilvurderinger eller beslutninger med fatale konsekvenser. Feil i informasjonen kan medføre tap av liv, for eksempel ved feilbehandling av pasienter, eller at viktige beslutninger blir tatt på feil grunnlag. Brudd kan medføre korrupte data i sentrale systemer som fører til omfattende følgefeil. |
|
SIKKERHETSKLASSER FOR INTEGRITET |
|||
|
1 - LAV |
2 - MODERAT |
3 - HØY |
4 - SVÆRT HØY |
|
Enfaktor autentisering |
Multifaktor autentisering |
Multifaktor, skrivebeskyttelse, logging etc. |
Multifaktor, skrivebeskyttelse, logging etc. |
[1] Om forhåndsklassifisering: G-69/98 - regjeringen.no kap 3.3
[2] Krav til vurdering av konsekvens ved bortfall iht. Normen v. 6.1 kapittel 5.9 Nødrutiner