Nr.

Dokumentnavn:

Link til dok.

1

Veileder om kontroll og overvåking i arbeidslivet

Link

2

Normen faktaark 15 – Logging og innsyn i logg

Link

3

Normen faktaark 25 – Lagringstid og sletting

Link

4

Krav og retningslinjer for Identitet og tilgangsstyring i Helse Midt-Norge

Link

Begreper

Forklaring/definisjon

Logg

Med logg menes i Normen et logisk register der hendelser i informasjonssystemet er nedtegnet, se neste definisjon

Logging

Med logging menes i Normen registrering av hendelser i et informasjonssystem, bl.a. med sikte på å forebygge, avdekke og hindre gjentagelse av sikkerhetsbrudd eller feilbruk.

Hendelseslogg

En fellesbetegnelse som brukes for å referere til ulike typer logger som registrerer hendelser og aktiviteter i et system, en applikasjon eller en nettverksenhet. Hendelsesloggen kan inneholde forskjellige typer hendelser, avhengig av konteksten og det spesifikke systemet eller applikasjonen. En hendelseslogg kan omfatte registrering av brukeraktiviteter, nettverksforbindelser, systemhendelser, feilmeldinger, varsler og andre relevante hendelser. Den kan også inkludere sikkerhetshendelser, som mislykkede påloggingsforsøk, forsøk på uautorisert tilgang og andre sikkerhetsrelaterte hendelser.

Endepunkter

Endepunkter er fysiske digitale enheter som kobler seg til og utveksler informasjon med et datanettverk. Noen eksempler på endepunkter er mobile IKT-enheter, håndholdte terminaler, stasjonære datamaskiner, virtuelle maskiner, servere, noe medisinsk utstyr (MU), industrielle systemer osv.

Kategori

Beskrivelse

Sikkerhetslogger

Omfatter logger fra sikkerhetssystemer som brannmur, innbruddsdeteksjonssystemer (IDS), innbruddsforebyggende systemer (IPS) og antivirusprogrammer. Sikkerhetsloggene inneholder informasjon om forsøk på uautorisert tilgang, avviste tilkoblinger, deteksjoner av skadevare og andre sikkerhetsrelaterte hendelser.

Systemlogger/

driftslogger

Gir informasjon om systemets drift, feil og advarsler. De er avgjørende for å overvåke systemhelsen, oppdage potensielle sikkerhetsbrudd og feilsituasjoner.

Brukerlogger

Inneholder informasjon om brukeraktiviteter, inkludert pålogginger, endringer i brukerrettigheter, filtilgang og brukerhandlinger som kan være relevante for sikkerheten. Det kan hjelpe med å identifisere mistenkelig eller uautorisert brukeraktivitet.

Applikasjonslogger

Logger fra spesifikke applikasjoner eller tjenester som brukes i organisasjonen. Applikasjonsloggene kan gi innsikt i brukerhandlinger, feil eller sikkerhetsrelaterte hendelser som oppstår innenfor applikasjonene. Gjennomgang av applikasjonsloggene er spesielt viktig for kritiske systemer eller systemer som inneholder sensitive data.

Nettverkslogger/

Infrastrukturlogger

Nettverkslogger gir informasjon om nettverkstrafikk, tilkoblingsforsøk og nettverksrelaterte sikkerhetshendelser. De kan hjelpe med å oppdage angrep, anomalier i trafikkmønstre og identifisere sikkerhetstrusler.

Infrastrukturlogger kan omfatte nettverkslogger, men også annen logg fra enheter i IKT-infrastrukturen i tillegg.

Generelle krav til logger

2.1.1.1

(Norm/ISO)[1]

Logger som registrerer aktiviteter, avvik, feil og andre relevante hendelser i HMN, skal produseres, oppbevares, beskyttes og analyseres.  Det skal utarbeides rutiner som sikrer at logging etableres, følges opp og håndteres i tråd med Normen og regulatoriske krav. Informasjonssystemer og infrastruktur som ikke har logging, eller mangler muligheten for logging iht. dette krav, skal håndteres som avvik.

2.1.1.2

(Norm 3.2)

HMN skal ha oversikt (logger) over alle som har hatt tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten. HMN skal logge hvem som har rettet, registrert, endret og slettet personopplysninger og annen informasjon med betydning for informasjonssikkerheten.

2.1.1.3

(ISO A 8.15)

Hendelseslogger skal inkludere for hver hendelse, når det er relevant:

a) bruker-ID-er

b) systemaktiviteter

c) datoer, klokkeslett og detaljer for relevante hendelser (f.eks. pålogging og avlogging)

d) enhetsidentitet, systemidentifikator og plassering (lokasjon)

e) nettverksadresser og -protokoller.

2.1.1.4

(Norm 5.4.4)

For å oppdage brudd eller forsøk på brudd skal det som minimum logges:

• Autorisert bruk av informasjonssystemene.

• All system- og administratorbruk til informasjonssystemer og infrastrukturen.

• Endring av konfigurasjon og programvare.

• Sikkerhetsrelevante hendelser i sikkerhetsbarrierer.

• Forsøk på uautorisert bruk av informasjonssystemer og infrastrukturen.

• Bruk av selvautorisering.

Merk: Krav og retningslinjer for identitet og tilgangsstyring i HMN krav 5.9.10 inneholder utdypende krav knyttet til dette.

2.1.1.5

(ISO A 8.15)

Følgende hendelser skal vurderes for logging når dette er hensiktsmessig ut fra en risikovurdering og dersom teknisk mulig:

a) vellykkede og avviste forsøk på systemtilgang

b) vellykkede og avviste forsøk på tilgang til data og applikasjoner

c) oppretting, endring og sletting av informasjonsobjekter (dokumenter, bilder, e-post, chat osv.)

d) kommandolinje operasjoner som bruk av PowerShell, BASH ol.

e) endringer eller forsøk på endring i systemkonfigurasjon

f) bruk av privilegier

g) bruk av hjelpeprogrammer og applikasjoner

h) filer det er oppnådd tilgang til, og typen tilgang, inkludert sletting av viktige datafiler

i) alarmer utløst av system og infrastruktur (eksempelvis system for tilgangskontroll)

j) aktivering og deaktivering av sikkerhetssystemer, slik som antivirussystemer og systemer for oppdagelse av inntrengere

k) opprettelse, modifisering eller sletting av identiteter

l) transaksjoner utført av brukere i applikasjoner. I noen tilfeller er applikasjonene en tjeneste eller et produkt som leveres eller drives av en tredjepart

m) URL forespørsler

n) flyt av nettverkstrafikk/nettverkstrafikk fra nettverksutstyr

o) DNS-spørringer

p) antivirusalarmer

q) Innsyn eller endring i helseopplysninger

r) sikkerhets-hendelser, avvik og fravik

s) hendelser ved bruk av skytjenester

2.1.1.6

(Norm F15)

I tillegg til punktene over skal foretaket vurdere å logge følgende punkter ved

fjernaksess:

·         Initiert trafikk mot IP-adresse og portnummer

·         Hva som er utført (kommandoer, transaksjoner, osv.). Om mulig skal angivelse

av tid for utført kommando også logges.

·         Hvilke data/datafiler som er lastet ned til leverandør (datafiler) eller opp til

foretaket (programfiler og patcher)

·         IP-adresse eller annen identifikasjon av enheten som ble benyttet, samt

lokasjonen påloggingen er gjort fra.

2.1.1.7

(Norm 5.4.4)

Logger skal ha korrekt tidsstempel (se kap. 5.3 for nærmere beskrivelse).

Krav til logger for behandlingsrettet helseregister

2.1.2.1

(Norm 5.4.4)

Følgende skal som minimum registreres i loggene ved autorisert bruk av behandlingsrettet helseregister:

• Identiteten til den som har lest, rettet, registrert, endret eller slettet helse- og   personopplysninger

• organisatorisk tilhørighet

• grunnlaget for tilgjengeliggjøringen

• tidsperioden for tilgjengeliggjøringen.

Ved behandling av helse- og personopplysninger for andre formål enn ytelse av helse- og omsorgstjenester skal kravene til logging besluttes på grunnlag av en risikovurdering.

Følgende skal vurderes logget i tillegg til minimumskravene:

• Rollen den autoriserte brukeren har ved tilgangen

• foretakstilhørighet

• type opplysninger det er gitt tilgang til

• hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller

brukerens navn eller fødselsnummer.

Krav til beskyttelse av logger

2.1.3.1

(Norm 5.4.4)

Loggene og autorisasjonsregister skal sikres mot endring og sletting.

2.1.3.2

(ISO A 8.15)

Sikkerhetstiltak skal ha som mål å oppdage og beskytte mot uautoriserte endringer av logginformasjon og problemer i driften av fasiliteten for logging, inkludert

a) endring av meldingstypene som registreres

b) redigering eller sletting av loggfiler

c) manglende registrering av hendelser eller overskriving av tidligere registrerte hendelser ved overskridelse av kapasiteten til lagringsmediet som loggfilen ligger på.

2.1.3.3

(ISO A 8.15)

For beskyttelse av logger skal bruk av følgende teknikker vurderes:

·         kryptografisk hashing

·         registrering i en tilføyings-fil (ikke endre/overskrive original) og skrivebeskyttet fil (read only)

·         registrering i en fil med offentlig innsyn. 

2.1.3.4

(ISO A 8.15)

Det skal vurderes om enkelte logger må arkiveres på grunn av krav til oppbevaring av data eller krav til å samle inn og oppbevare bevis.

2.1.3.5

(ISO A 8.15)

I tilfeller der Helse Midt-Norge må sende system- eller applikasjonslogger til en leverandør for å få hjelp med feilsøking, skal logger avidentifiseres der det er mulig, ved hjelp av datamaskeringsteknikker for informasjon som brukernavn, IP-adresser, vertsnavn eller organisasjonsnavn, før de sendes til leverandøren.

Krav til logganalyse

2.1.4.1

(ISO A 8.15)

Logganalyse skal dekke analyse og tolkning av informasjonssikkerhetsepisoder og bidra til å identifisere uvanlig aktivitet eller avvikende atferd, som kan være et tegn på kompromittering.

2.1.4.2

(Norm 5.4.4)

Elektroniske logger skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd.

2.1.4.3

(Norm 5.4.4)

Det skal etableres rutiner for å analysere loggene slik at hendelser oppdages før de får alvorlige konsekvenser. Dersom brudd avdekkes, skal dette håndteres som et avvik.

2.1.4.4

(Norm 5.4.4)

Det skal etableres rutiner for ved behov å kunne sammenholde loggene med autorisasjonsregister.

2.1.4.5

(ISO A 8.15)

Logganalyse skal støttes av spesifikke overvåkningsaktiviteter for å bidra til å identifisere og analysere avvikende atferd, inkludert

a) gjennomgå vellykkede og mislykkede forsøk på å få tilgang til beskyttede ressurser (f.eks. DNS-servere, nettportaler og fildelinger)

b) sjekke DNS-logger for å identifisere utgående nettverkstilkoblinger til ondsinnede servere, f.eks. de som er knyttet til botnettkommando- og kontrollservere

c) undersøke bruksrapporter fra tjenesteleverandører (f.eks. fakturaer eller tjenesterapporter) for uvanlig aktivitet innenfor systemer og nettverk (f.eks. ved å gjennomgå aktivitetsmønstre)

d) inkludere hendelseslogger for fysisk overvåkning som inngang og utgang for å sikre mer nøyaktig oppdagelse og analyse av hendelser

e) korrelere logger for å muliggjøre effektiv og svært nøyaktig analyse.

2.1.4.6

(ISO A 8.15)

Mistenkte og faktiske informasjonssikkerhetshendelser skal identifiseres og underkastes videre etterforskning, også som en del av HMNs prosess for håndtering av informasjonssikkerhetshendelser.

2.1.4.7

(Norm F15.7)

Logg som skal benyttes som bevis skal speil-kopieres til annet medium før analyser gjennomføres.  Speilkopieringen skal gjennomføres under påsyn av to eller flere personer. Det skal opprettes en skriftlig protokoll for speilkopieringen der det fremgår hva som er gjort. Protokollen skal signeres av de som var til stede og oppbevares sammen med det registrerte avviket. For å kunne benytte logger som bevis, er det avgjørende at loggene er tilstrekkelig beskyttet mot manipulering (integritetsbeskyttelse).

2.1.4.8

(ISO A 8.15)

Ved leveranse av skytjenester skal ansvaret for logging være klart definert og delt mellom HMN og skytjenesteleverandøren.

Krav til lagring og oppbevaring av logger

2.1.5.1

(Norm 5.4.4 + 4.2.6.1))

Logger som genereres ved ytelse av helsehjelp, skal lagres til det ikke antas å være bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer (logger). For videre veiledning henvises til Normens faktaark 15.

2.1.5.2

(CIS SG 8.9)

Logger skal (så langt det er mulig) samles inn og sendes til et sentralisert loggsamlingsverktøy for analyse og oppbevaring.

2.1.5.3

(Norm 5.4.4)

Logger av sikkerhetsmessig betydning skal oppbevares så lenge som nødvendig for å oppnå formålet. Logger som inneholder personopplysninger skal ikke lagres lengre enn det som er nødvendig for formålet.

Foretakene skal i felleskap bidra i fastsettelsen av hvor lenge logger skal oppbevares, i samsvar med krav, lover og regler. Tjenesteleverandørene og MTA lager forslag til, RIF anbefaler og RLIP beslutter oppbevaringstiden. Lagringstid beskrives i tjenesteavtalene.

For videre veiledning henvises til Normens faktaark 15 (logging og innsyn i logg) og faktaark 25 (lagringstid og sletting).

2.1.5.4

(Norm F15.13)

Når loggene ikke lenger er nødvendig, skal de slettes. Loggene skal likevel ikke

slettes dersom opplysningene er omfattet av en arkivplikt (for eksempel etter

arkivloven eller helsearkivforskriften).

2.1.5.5

(Internt)

Ved leveranse av skytjenester skal landet der loggene lagres og behandles vurderes opp mot gjeldende krav til overføring av personopplysninger utenfor EU/EØS og HMNs egne krav til informasjonssikkerhet. Om nødvendig skal tiltak vurderes og implementeres for å sikre loggene.

Krav til oppslag i logg

2.1.6.1

 (Internt)

Det er i utgangspunktet ikke tillatt med oppslag i logg, med mindre følgende hendelser aktualiserer behov:  

·         Feilsøking 

·         Sikkerhetshendelse 

·         Stikkprøvekontroller 

·         Personalsak  

·         Mistanke om straffbare forhold (hvem, når, politianmeldelse) 

·         Begjæring om innsyn fra den registrerte

2.1.6.2

(Internt)

Oppslag i logg som inneholder personopplysninger skal tilgangsstyres og kun utføres av medarbeidere med tjenstlig behov.

2.1.6.3

(Internt)

Det skal finnes prosedyrer som beskriver hvordan oppslag i logg skal utføres for å ivareta lovkrav, krav knyttet til etterforskning/bevis og kravet til informasjonssikkerhet og personvern. Prosedyrene skal også beskrive hvilke roller som skal involveres for å ivareta kravene.

2.1.6.4

(Internt)

Oppslag i logger skal alltid dokumenteres.

Krav knyttet til stikkprøvekontroll av logg

2.1.7.1

(Internt)

Informasjonssikkerhetsleder eller tilsvarende rolle i foretakene er ansvarlige for at det gjennomføres stikkprøvekontroll av logger. Samlet vil loggene inneholde store mengder personopplysninger som kan avsløre mye om enkeltpersoner i Helse Midt-Norge. Det er derfor viktig at loggene kun brukes til tiltenkt formål. For å sikre at det ikke foregår «snoking» i logger, skal det mist årlig gjennomføres stikkprøvekontroll av loggoppslag.  

Stikkprøvekontrollen skal minimum omfatte kontroll av formålet med behandlingen, om det finnes et behandlingsgrunnlag, samt i hvilken grad det er gjort oppslag i logg (inkl. årsak og hvem som har hatt tilgang).

Funn i stikkprøvekontroll skal meldes som avvik i henhold til gjeldende avviksrutiner.

Krav til sikkerhetsovervåkning

2.2.1.1

(ISO A 8.16)

Nettverk, endepunkter, systemer og applikasjoner i HMN skal overvåkes for avvikende atferd, og hensiktsmessige tiltak skal iverksettes for å evaluere potensielle informasjonssikkerhetshendelser.

2.2.1.2

(ISO A 8.16)

Omfanget av og nivået på overvåkningen skal fastsettes i samarbeid med tjenesteleverandører og MTA, i henhold til HMNs krav og retningslinjer for overvåkning og i samsvar med relevante lover og forskrifter. Det skal føres en logg over overvåkningen for definerte oppbevaringsperioder.

2.2.1.3

(ISO A 8.16)

Følgende skal, så langt det er mulig, inkluderes i overvåkningssystemet:

a) utgående og innkommende nettverks-, system- og applikasjonstrafikk

b) tilgang til systemer, servere, nettverksutstyr, overvåkningssystem, kritiske applikasjoner osv.

c) system- og nettverkskonfigurasjonsfiler som er kritiske eller befinner seg på administratornivå

d) logger fra sikkerhetsverktøy (f.eks. virusprogram, IDS, inntrengingsforebyggende system (IPS), nettfiltre, brannmurer, forebygging av datalekkasje)

e) hendelseslogger relatert til system- og nettverksaktivitet

f) kontroll av at koden som kjøres, er autorisert til å kjøre i systemet, og at den ikke er manipulert (f.eks. ved rekompilering for å legge til ekstra uønsket kode)

g) bruk av ressursene (f.eks. CPU, harddisker, minne, båndbredde) og deres ytelse.

For utfyllende veiledning til kravet henvises til NSM grunnprinsipper kapittel 3.2, anbefalt tiltak 3.2.3.

2.2.1.4

 ISO A 8.16)

Organisasjonen skal etablere en basislinje for normal atferd og overvåke atferd for avvik fra denne basislinjen. Ved etablering av en basislinje skal følgende vurderes:

a) gjennomgåelse av utnyttelse av systemer i normale perioder og peak-perioder

b) vanlig tilgangstid, tilgangssted, tilgangshyppighet for hver bruker eller brukergruppe.

2.2.1.5

(ISO A 8.16)

Overvåkningssystemet skal konfigureres etter den etablerte basislinjen for å identifisere avvikende atferd.

For videre veiledning til kravet henvises til ISO 27002:2022 kontroll 8.16 og NSM grunnprinsipper kapittel 3.2, anbefalt tiltak 3.2.4.

2.2.1.6

(ISO A 8.16)

Det skal benyttes kontinuerlig overvåkning 24/7 via overvåkningsverktøy. Overvåkning skal om mulig skje i sanntid eller i periodiske intervaller, i samsvar med HMNs behov og kapasitet.

2.2.1.7

(ISO A 8.16)

Overvåkningsverktøy skal omfatte muligheten til å håndtere store mengder data, tilpasse seg et trussel-landskap i stadig endring og muliggjøre sanntidsvarsling. Verktøyene skal også kunne gjenkjenne spesifikke signaturer og data-, nettverks- eller applikasjonsatferdsmønstre.

2.2.1.8

(ISO A 8.16)

Automatisert overvåkningsprogramvare skal konfigureres til å generere varsler (f.eks. via administrasjonskonsoller, e-postmeldinger eller direktemeldingssystemer) basert på forhåndsdefinerte terskler. Varslingssystemet skal justeres og trenes på organisasjonens basislinje for å minimere falske positive resultater. Det skal utpekes et eget personell til å reagere på varsler som skal ha den opplæringen som skal til for å kunne tolke potensielle hendelser riktig. Det skal være redundante systemer og prosesser på plass for å motta og reagere på varslinger.

2.2.1.9

(ISO A 8.16)

For å minimere virkningen av uønskede hendelser på informasjonssikkerheten skal det være prosedyrer på plass for å reagere rettidig på positive indikatorer fra overvåkningssystemet. Det skal også etableres prosedyrer for å identifisere og håndtere falske positive resultater, inkludert justering av overvåkningsprogramvaren for å redusere antall framtidige falske positive resultater.

2.2.1.10

(Tjenestekr.21)

HMN skal sørge for at det er etablert prosedyrer for overvåkning av meldingstrafikk og behandling av avvik.

Krav til løpende kontroll og forbedring av sikkerhetsovervåkningen

2.2.2.1

(ISO A 8.16)

Det skal finnes tiltak for løpende forbedring av sikkerhetsovervåkningen. Dette kan gjøres gjennom å:

a) benytte systemer for trusseletterretning

b) benytte muligheter ved maskinlæring og kunstig intelligens

c) bruke blokkerings- eller tillatelseslister

d) gjennomføre en rekke tekniske sikkerhetsvurderinger (f.eks. sårbarhetsvurderinger, inntrengningstesting, cyberangrepssimuleringer og cyberresponsøvelser) og bruke resultatene fra disse vurderingene som et grunnlag for å fastslå basislinjer eller akseptabel atferd

e) bruke systemer for ytelsesovervåkning som et grunnlag for å fastslå og oppdage avvikende atferd

f) utnytte logger i kombinasjon med overvåkningssystemer. 

For utfyllende veiledning til kravet henvises til NSM grunnprinsipper kapittel 3.2- anbefalt tiltak 3.2.5, 3.2.6 og 3.2.7.

Krav til analyse av data fra sikkerhetsovervåkningen

2.2.3.1

(NSM 3.3.1)

Det skal etableres en plan for analyse av data fra sikkerhetsovervåkning.

For utfyllende veiledning til kravet henvises til NSM grunnprinsipper kapittel 3.3, anbefalt tiltak 3.3.1.

2.2.3.2

(NSM 3.3.2)

Kompetanse om normaltilstanden i foretakenes informasjonssystemer skal etableres og vedlikeholdes for å kunne oppdage endringer eller unormaliteter som kan indikere uautoriserte handlinger. Normaltilstanden må forvaltes over tid og gjenspeiles av omstillinger og omorganiseringer, oppkjøp, sammenslåing, nedbemanning og endring av driftskonsept. Kunnskapen om informasjonssystemene skal være så god at det er mulig å identifisere avvik som representerer trusler.

For utfyllende veiledning til kravet henvises til NSM grunnprinsipper kapittel 3.3, anbefalt tiltak 3.3.2.

2.2.3.3

(NSM 3.3.3)

Verktøy som muliggjør manuelle og automatiske søk, samt alarmering basert på kriterier, i all innsamlet sikkerhetsrelevant data skal tas i bruk. Verktøyet skal automatisk kunne sammenstille data fra forskjellige kilder for å lettere kunne avgjøre om hendelsen er reel (ikke falsk positiv) samt omfang og karakter.

2.2.3.4

(NSM 3.3.4)

Trusselinformasjon fra relevante kilder skal Innhentes og bearbeides slik at denne kan benyttes ved vurdering av potensielle sikkerhetshendelser. Dette kan være data fra tidligere angrep eller trusselinformasjon fra myndigheter, CERT for sektoren, sammenliknbare virksomheter eller åpne kilder.

2.2.3.5

(NSM 3.3.5)

Innhentet data skal vurderes fortløpende for å fastslå om data er tilstrekkelig relevant og detaljert.

2.2.3.6

(NSM 3.3.6)

(Interne krav)

Rutine for eskalering av alarmer skal etableres, samt hvem det skal rapporteres til, samt hvilke data som skal tilgjengeliggjøres og hvem det skal tilgjengeliggjøres for i forbindelse med hendelseshåndtering.

Rutine for eskalering av alarmer skal avtales med RIF og besluttes av RLIP.

Frekvens og innhold for rapportering ut over dette skal avtales med RIF og besluttes av RLIP. Avtalt rapportering skal skje minimum tertialt.

2.2.3.7

(NSM 3.3.7)

Analyseverktøy, teknologi og algoritmer (anvendt maskinlæring) som bidrar til å oppdage og formidle ukjente trusler og unormaliteter i de sikkerhetsrelevante dataene skal om mulig benyttes.

Krav til personvern og etterlevelse av lovverket  for logging og overvåkning

2.3.1.1

(Intern/lovkrav)

Det skal iverksettes hensiktsmessige og forholdsmessige tiltak for å ivareta personvernet når hendelseslogger inneholder personopplysninger

2.3.1.2

(Intern/lovkrav)

Logging og overvåkning av informasjonssystemer og ansattes bruk av informasjons-systemene skal kun utføres i samsvar med

·         Personopplysningsloven

·         Arbeidsmiljøloven

·         Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale

·         Pasientjournalloven med tilhørende forskrift

·         Øvrige relevante lover, regelverk og retningslinjer.

Dette slik at ulovlig og unødig overvåking av de ansatte unngås.

2.3.1.3

(Intern/lovkrav)

Det skal finnes et behandlingsgrunnlag når personopplysninger benyttes i logging og overvåkning. Lovligheten og formålet med kontrolltiltaket skal vurderes før tiltaket (behandlingen) iverksettes. Risikovurdering av sikkerheten for personopplysninger og personvernkonsekvensvurdering (DPIA) skal gjennomføres iht. HMNs rutiner for dette. Samtykke skal som hovedregel ikke benyttes som rettslig grunnlag for kontrolltiltak som innebærer å overvåke ansatte.

2.3.1.4 (Intern/lovkrav)

Det skal ikke samles inn mere personopplysninger enn det som er nødvendig for å oppnå formålet med loggingen og overvåkningen. Om mulig skal opplysningene anonymiseres, pseudonymiseres eller på annen måte skjermes. Det skal vurderes om formålet med loggingen og overvåkningen kan oppnås uten å benytte personidentifiserbar informasjon.

2.3.1.5 (Intern/lovkrav)

Brukere skal informeres om logging og overvåkning av informasjonssystemene og formålet med dette før slike tiltak iverksettes. Herunder skal brukere informeres om hvordan kontroll og overvåkning skjer, hva opplysningene brukes til, praktiske konsekvenser av kontrolltiltakene og antatt varighet. Hovedkilder til slik informasjon er Sikkerhetsinstruks i HMN, foretaksvise personvernerklæringer og dette dokumentet.

2.3.1.6 (Intern/lovkrav)

Personopplysninger som samles inn gjennom loggdataene skal behandles i samsvar med prinsippene for behandling av personopplysninger (GDPR art. 5), og tilgangen til slik informasjon skal begrenses til autorisert personell med behov for tilgang.

2.3.1.7 (Intern/lovkrav)

Loggdataene skal ikke brukes til andre formål enn det som er nødvendig for sikkerhetsformål, etterforskning av sikkerhetshendelser og overholdelse av relevante krav.

2.3.1.8

(Norm F15.4)

Dataansvarlig skal så tidlig som mulig drøfte behovet, utformingen og gjennomføringen av kontrolltiltakene knyttet til logging og overvåking med tillitsvalgte før tiltaket etableres. Det samme gjelder ved vesentlig endring av tiltaket. Personvernombud skal tas med på råd.

2.3.1.9

(Norm 4.2.3)

Foretakene skal sikre at den registrerte kan få innsyn i opplysninger registrert om seg selv. Dette innsynet gjelder også loggen over hvem, og fra hvilket foretak, som har tilegnet seg hvilke opplysninger, og på hvilket tidspunkt.

For utfyllende veiledning til kravet henvises til Normens faktaark 15, - vedrørende den registrertes innsyn i logg.

2.3.1.10

(Internt)

Hvert foretak er ansvarlig for å føre en oversikt over all logging som kan inneholde personidentifiserbar informasjon i foretaket. Tjenesteleverandørene og MTA er ansvarlig for å føre slik oversikt i felles løsninger og infrastruktur og gjøre dette tilgjengelig for foretakene. Oversikten skal inneholde beskrivelse av loggen, hva som logges, hvor lenge loggen oppbevares og hvem som har tilgang. Oversikten skal føres i henhold til Personopplysningsloven/GDPR artikkel 30 – Protokoller over behandlingsaktiviteter.

Krav til klokkesynkronisering

2.4.1.1

(ISO A 8.17)

Klokkene til informasjonsbehandlingssystemer som brukes av HMN, skal synkroniseres med godkjente tids-kilder.

2.4.1.2 (ISO A 8.17)

Eksterne og interne krav til visning, pålitelig synkronisering og nøyaktighet av tid skal dokumenteres og implementeres. Slike krav kan være juridiske, lovfestede, regulatoriske og kontraktsmessige, de kan være nedfelt i standarder, og de kan være utledet av interne overvåkningsbehov.

2.4.1.3 (ISO A 8.17)

En standard referansetid til bruk i organisasjonen skal defineres og vurderes for alle systemer, inkludert bygningsstyringssystemer, inngangs- og utgangssystemer og andre systemer som kan være til hjelp ved etterforskninger. 

2.4.1.4

(ISO A 8.17)

HMN skal bruke to eksterne tids-kilder samtidig for å forbedre påliteligheten til eksterne klokker og håndtere eventuelle avvik på en egnet måte. 

2.4.1.5

(ISO A 8.17)

Klokkesynkronisering kan være vanskelig ved bruk av flere skytjenester eller ved bruk av både skytjenester og lokale tjenester. I dette tilfellet skal klokken til hver tjeneste overvåkes og forskjellen registreres for å redusere risikoene som oppstår som følge av avvik.