Norm for informasjonssikkerhet sikkerhet i Norsk Helsenett SF

1. Ove Olsen Sikkerhetssjef Norsk Helsenett Norm for informasjonssikkerhet � sikkerhet i Norsk Helsenett SF

2. | 2 Norm for informasjonssikkerhet Instrukt�rnotater: Kursmodulen gir en oversikt over normen med tilh�rende st�ttedokumenter Instrukt�rnotater: Kursmodulen gir en oversikt over normen med tilh�rende st�ttedokumenter

3. | 3 1. Hva er Normen? Informasjonssikkerhet Virkemidler for � sikre personvernet Konfidensialitet Integritet Tilgjengelighet Kvalitet Instrukt�rnotater: Det enkeltes individs grunnleggende rettigheter Datatilsynet skal p�se at personvernet blir ivaretatt Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket Det moderne personvern har med informasjonsteknologi � gj�re Angi eksempler p� bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling p� nett, svar fra kommunen p� nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune? Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL �13 og HRL �16 Innsatsomr�der p� sikkerhet: Teknisk, fagsystem, fysisk og organisatorisk sikkerhetInstrukt�rnotater: Det enkeltes individs grunnleggende rettigheter Datatilsynet skal p�se at personvernet blir ivaretatt Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket Det moderne personvern har med informasjonsteknologi � gj�re Angi eksempler p� bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling p� nett, svar fra kommunen p� nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune? Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL �13 og HRL �16 Innsatsomr�der p� sikkerhet: Teknisk, fagsystem, fysisk og organisatorisk sikkerhet

4. | 4 1. Hva er Normen? Kompleks sektor med 10 000+ virksomheter Fragmentert lovverk Normen: Utviklet av sektoren og Datatilsynet Basert p� og dekker alle krav i lover og forskrifter Normen kan stille strengere krav enn loven Omforent i sektoren F�lges Normen - etterleves regelverket Instrukt�rnotater: �kt samhandling utfordrer kravet til informasjonssikkerhet Omtrent 35 lover og forskrifter angir regler om informasjonssikkerhet i helse- og sosialsektoren Personopplysningsloven Helseregisterloven Helsepersonelloven Pasientrettighetsloven Journalforskriften Alle som har deltatt i � utvikle Normen: Den norske legeforening representanter for de regionale helseforetak Norsk Sykepleierforbund Norges Apotekerforening KS I tillegg har f�lgende deltatt: Datatilsynet Helsetilsynet NAV Helsedirektoratet Norsk Helsenett Private laboratorier Tannlegeforeningen Den offentlige tannhelsetjenesten I tillegg er Direktoratet for forvaltning og IKT observat�r i arbeidet. Normen kan stille strengere krav enn loven f.eks: To uavhengige tekniske tiltak for beskyttelse av helse- og personopplysninger Tofaktor autentisering Presiser hva er forholdet mellom Norm og lov/forskift. Hva er bindende p� hvilken m�te. (Nomen er bindende ved avtale, veiledere og faktaark er ikke bindende ved avtale)Instrukt�rnotater: �kt samhandling utfordrer kravet til informasjonssikkerhet Omtrent 35 lover og forskrifter angir regler om informasjonssikkerhet i helse- og sosialsektoren Personopplysningsloven Helseregisterloven Helsepersonelloven Pasientrettighetsloven Journalforskriften Alle som har deltatt i � utvikle Normen: Den norske legeforening representanter for de regionale helseforetak Norsk Sykepleierforbund Norges Apotekerforening KS I tillegg har f�lgende deltatt: Datatilsynet Helsetilsynet NAV Helsedirektoratet Norsk Helsenett Private laboratorier Tannlegeforeningen Den offentlige tannhelsetjenesten I tillegg er Direktoratet for forvaltning og IKT observat�r i arbeidet. Normen kan stille strengere krav enn loven f.eks: To uavhengige tekniske tiltak for beskyttelse av helse- og personopplysninger Tofaktor autentisering Presiser hva er forholdet mellom Norm og lov/forskift. Hva er bindende p� hvilken m�te. (Nomen er bindende ved avtale, veiledere og faktaark er ikke bindende ved avtale)

5. | 5 1. Hva er Normen? Hvem gjelder Normen for? Juridisk bindende for �virksomheter� som er tilknyttet Norsk Helsenett (iht avtalen om tilknytning) Kan v�re krav i en avtale (for eksempel databehandleravtale) Veiledende for alle andre Instrukt�rnotater: Se avtalen for tilknytning til helsenettet (jfr. forrige foil) Med �virksomhet� menes en juridisk enhet som legevirksomhet, helseforetak, private sykehus, apotek, apotekkjede, kommune, frittst�ende laboratorier, r�ntgeninstitutter, tannlege, universiteter, h�yskole, stiftelser o.a. Forklar hva databehandlingsansvarlig er. Forklar hva en databehandleravtale er (referer til Datatilsynets veileder for Databehandleravtale). Instrukt�rnotater: Se avtalen for tilknytning til helsenettet (jfr. forrige foil) Med �virksomhet� menes en juridisk enhet som legevirksomhet, helseforetak, private sykehus, apotek, apotekkjede, kommune, frittst�ende laboratorier, r�ntgeninstitutter, tannlege, universiteter, h�yskole, stiftelser o.a. Forklar hva databehandlingsansvarlig er. Forklar hva en databehandleravtale er (referer til Datatilsynets veileder for Databehandleravtale).

6. | 6 1. Hva er Normen? Form�let med Normen Etablere tilfredsstillende informasjonssikkerhet Ett regelsett Stole p� samhandlingspartner Harmonisere sikkerheten mellom virksomheter i sektoren Instrukt�rnotater: �Form�let med normen er: 1. at en virksomhet som etterlever og innretter seg etter normen har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger, og 2. at de som samhandler med en virksomhet som har forpliktet seg til � innrette seg etter normens krav, skal kunne stole p� at denne virksomheten har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger.� Instrukt�rnotater: �Form�let med normen er: 1. at en virksomhet som etterlever og innretter seg etter normen har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger, og 2. at de som samhandler med en virksomhet som har forpliktet seg til � innrette seg etter normens krav, skal kunne stole p� at denne virksomheten har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger.�

7. | 7 2. Normens oppbygging og innhold Styrende del Gjennomf�rende del Kontrollerende del www.normen.no Instrukt�rnotater: G� inn p� www.normen.no Vise struktur p� nettstedet Pek p� Normen Pek p� faktaark Pek p� veiledere G� gjennom innholdsfortegnelse og oppbyggingen av NormenInstrukt�rnotater: G� inn p� www.normen.no Vise struktur p� nettstedet Pek p� Normen Pek p� faktaark Pek p� veiledere G� gjennom innholdsfortegnelse og oppbyggingen av Normen

8. | 8 2. Normens oppbygging og innhold Styrende del � viktige omr�der Ordf�rer har formelt det overordnede ansvaret Etablere m�l og strategi for informasjons-sikkerhet Niv� for akseptabel risiko Utarbeide oversikt over behandlinger Sende melding til Datatilsynet evt. til personvernombud Instrukt�rnotater: Presiser at ordf�rer har ansvaret og delegerer oppgaver i egen organisasjon, normalt r�dmann som �verste administrativt ansvarlige i kommunen Ogs� andre som har delegert ansvar for � utf�re oppgaven: drift av IT og sikkerhetsansvar Alle tiltak som etableres skal bygge p� m�l og strategi for informasjonssikkerhet Instrukt�ren beskriver hva sikkerhetsm�l og sikkerhetsstrategi er. Gi eksempler. Niv� for akseptabel risiko; hva t�ler kommunen og hva t�le den ikke: Har noen deltagere eksempler p� hva som er brudd p� niv� for akseptabel risiko? (Hvor skal lista ligge?) Behandlinger kan normalt ikke likestilles med fagsystem og system for tjenestedokumentasjon fordi et system kan dekke flere behandlinger De som har personvernombud som er godkjent av Datatilsynet trenger ikke � sende melding Datatilsynet.Instrukt�rnotater: Presiser at ordf�rer har ansvaret og delegerer oppgaver i egen organisasjon, normalt r�dmann som �verste administrativt ansvarlige i kommunen Ogs� andre som har delegert ansvar for � utf�re oppgaven: drift av IT og sikkerhetsansvar Alle tiltak som etableres skal bygge p� m�l og strategi for informasjonssikkerhet Instrukt�ren beskriver hva sikkerhetsm�l og sikkerhetsstrategi er. Gi eksempler. Niv� for akseptabel risiko; hva t�ler kommunen og hva t�le den ikke: Har noen deltagere eksempler p� hva som er brudd p� niv� for akseptabel risiko? (Hvor skal lista ligge?) Behandlinger kan normalt ikke likestilles med fagsystem og system for tjenestedokumentasjon fordi et system kan dekke flere behandlinger De som har personvernombud som er godkjent av Datatilsynet trenger ikke � sende melding Datatilsynet.

9. | 9 2. Normens oppbygging og innhold Gjennomf�rende del � viktige omr�der Tilgangstyring Datakommunikasjon (samhandling internt og eksternt) Oppl�ring Avtaler Databehandleravtale - se www.datatilsynet.no Leverand�r � fjernaksess til fagapplikasjon Instrukt�rnotater: Tilgangsstyring � Forklar forskjellen p� disse: Autorisering (roller, behov) Autentisering (rolle, en faktor, tofaktor) Datakommunikasjon Kryptering (forklar hva kryptering er) Pseudonymisering (forklar hva dette er) G� inn p� www.datatilsynet.no og vis mal for databehandleravtale: http://www.datatilsynet.no/templates/article____2742.aspx Fjernaksess Orientere om hvilke krav som stilles til leverand�r og virksomhet Egen veileder Egen kursmodulInstrukt�rnotater: Tilgangsstyring � Forklar forskjellen p� disse: Autorisering (roller, behov) Autentisering (rolle, en faktor, tofaktor) Datakommunikasjon Kryptering (forklar hva kryptering er) Pseudonymisering (forklar hva dette er) G� inn p� www.datatilsynet.no og vis mal for databehandleravtale: http://www.datatilsynet.no/templates/article____2742.aspx Fjernaksess Orientere om hvilke krav som stilles til leverand�r og virksomhet Egen veileder Egen kursmodul

10. | 10 2. Normens oppbygging og innhold Kontrollerende del � viktige omr�der Sikkerhetsrevisjon Gjennomf�res etter prinsippene for internkontroll av HMS Ekstern sikkerhetsrevisjon Med hjemmel i avtale: for eksempel Norsk Helsenett Risikovurdering Avviksh�ndtering Ledelsens gjennomgang Instrukt�rnotater: Sikkerhetsrevisjon Hva menes med sikkerhetsrevisjon Skal gjennomf�res minimum �rlig Risikovurdering Skal gjennomf�res f�r oppstart av behandling av helse- og personopplysninger og ved vesentlige endringer For eksempel ved: tilknytning til helsenettet, omstrukturering av nettet, omorganisering av kommunen, mv. Er ikke risikovurdering gjennomf�rt f�r oppstart, m� gj�re det n� Avviksh�ndtering All bruk av n�drettstilgang (bl�lys) skal behandles som avvik Ta ogs� andre dagligdagse hendelser � Peke tilbake til foilen med sikkerhetsbrudd Ledelsens gjennomgang Status p� sikkerhetsomr�det, revisjon av m�l og strategi, sikkerhetsrevisjoner, avvik, organisering, osv Gjennomf�res minimum �rligInstrukt�rnotater: Sikkerhetsrevisjon Hva menes med sikkerhetsrevisjon Skal gjennomf�res minimum �rlig Risikovurdering Skal gjennomf�res f�r oppstart av behandling av helse- og personopplysninger og ved vesentlige endringer For eksempel ved: tilknytning til helsenettet, omstrukturering av nettet, omorganisering av kommunen, mv. Er ikke risikovurdering gjennomf�rt f�r oppstart, m� gj�re det n� Avviksh�ndtering All bruk av n�drettstilgang (bl�lys) skal behandles som avvik Ta ogs� andre dagligdagse hendelser � Peke tilbake til foilen med sikkerhetsbrudd Ledelsens gjennomgang Status p� sikkerhetsomr�det, revisjon av m�l og strategi, sikkerhetsrevisjoner, avvik, organisering, osv Gjennomf�res minimum �rlig

11. | 11 3. Faktaark og veiledere Faktaark og veiledere omhandler ulike temaer og angir forslag til l�sninger Angir eksakte krav og veiledninger www.normen.no Faktaark Eksempel: Faktaark 42 � Bruk av SMS i pasientkontakt Instrukt�rnotater: Normen stiller kravene (hva) og faktaark og veiledere angir hvordan kravet kan ivaretas. Andre l�sninger er ogs� tillat G� inn p� www.normen.no og vis faktaark og veiledere med temagjennomgang Bruk det aktuelle dokumentet � ikke lese alle Eksempel �pne faktaark 42 og g� gjennom header og innhold � alle ark er bygget opp p� samme m�ten Dette faktaarket inneholder b�de krav og veiledninger; tillatt, forbudt og b�r unng�s ifm SMSInstrukt�rnotater: Normen stiller kravene (hva) og faktaark og veiledere angir hvordan kravet kan ivaretas. Andre l�sninger er ogs� tillat G� inn p� www.normen.no og vis faktaark og veiledere med temagjennomgang Bruk det aktuelle dokumentet � ikke lese alle Eksempel �pne faktaark 42 og g� gjennom header og innhold � alle ark er bygget opp p� samme m�ten Dette faktaarket inneholder b�de krav og veiledninger; tillatt, forbudt og b�r unng�s ifm SMS

12. | 12 3. Faktaark og veiledere Veiledere om: Fjernaksess Forskning Tilknytning av kommunen til helsenettet Helse- og sosialtjenesten i kommunen og fylkeskommunen Tannhelsetjenesten Legekontor Instrukt�rnotater: Formelt navn: Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverand�r og helsevirksomhet Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Personvern og informasjonssikkerhet for legekontorer - en veileder Nevne at det er overlapp mellom enkelte veiledere. Omtale den enkelte veiledere i korte trekk Flere p� beddingen bl.a. knyttet til tilgang p� tvers Nevne at det utarbeides l�pende nye veiledereInstrukt�rnotater: Formelt navn: Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverand�r og helsevirksomhet Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder Personvern og informasjonssikkerhet for legekontorer - en veileder Nevne at det er overlapp mellom enkelte veiledere. Omtale den enkelte veiledere i korte trekk Flere p� beddingen bl.a. knyttet til tilgang p� tvers Nevne at det utarbeides l�pende nye veiledere

13. | 13 4. Hvordan g� frem for � ivareta kravene i Normen? Ledelsesforankring i kommunen Etablere eller revidere styringssystem for informasjonssikkerhet (forholdsmessig sikring) Oppl�ring/ Oppl�ring av instrukt�rer Gjennomf�re n�dvendige tiltak S�rge for kontinuitet og l�pende lederforankring Instrukt�rnotater: Forklar hva som menes med forholdsmessig sikring. Kartlegge status � f.eks bruk av Faktaark 6 � eget skjema med samtlige krav i Normen Kontinuitet: F�lge med nye faktaark � endringer p� normen.no Kontinuitet: Ledelsen �rlige gjennomgangInstrukt�rnotater: Forklar hva som menes med forholdsmessig sikring. Kartlegge status � f.eks bruk av Faktaark 6 � eget skjema med samtlige krav i Normen Kontinuitet: F�lge med nye faktaark � endringer p� normen.no Kontinuitet: Ledelsen �rlige gjennomgang

14. | 14 5. Forvaltning av Normen Bestemmende: Styringsgruppen for Normen Helsedirektoratet har ansvaret for � forvalte informasjonssikkerhetsarbeidet i sektoren Sekretariat for Normen: Helsedirektoratet sikkerhetsnormen@helsedir.no Tilgjengelighet: www.normen.no Instrukt�rnotater: Helsedirektoratet har ansvaret for � forvalte Normen og st�ttedokumentene gjennom et sekretariat Virksomhetene har selv det faktiske ansvaret for � etterleve Normen Virksomhetene / sektoren kan foresl� nye st�ttedokumenter Instrukt�rnotater: Helsedirektoratet har ansvaret for � forvalte Normen og st�ttedokumentene gjennom et sekretariat Virksomhetene har selv det faktiske ansvaret for � etterleve Normen Virksomhetene / sektoren kan foresl� nye st�ttedokumenter

15. | 15  Sikkerhet i Norsk Helsenett SF Instrukt�rnotater: Kursmodulen gir en oversikt over normen med tilh�rende st�ttedokumenter Instrukt�rnotater: Kursmodulen gir en oversikt over normen med tilh�rende st�ttedokumenter

16. M�lrettede trojanere Cyberkrig ref. Stuxnet Rettede DOS angrep � Wikileaks Sosial manipulering Mobiltelefoner Ormer som oppdaterer seg selv over nettet Bruk av sosiale medier Dagens trusselbilde

17. Hovedform�let med etablering av Norsk Helsenett SF er � videreutvikle en sikker IKT-infrastruktur for forvaltning og kommunikasjon av informasjon, samt telemedisinske l�sninger i helse- og omsorgssektoren. Statsforetaket skal bidra til at en standardisert IKT-infrastruktur med felles tjenester blir gjort tilgjengelig p� nasjonalt plan, og gjennom dette medvirke til � oppn� helsepolitiske m�l om kvalitet, lik tilgjengelighet til helsetjenester, effektivisering og informasjonssikkerhet. Norsk Helsenett - Ny strategi

18. Det er en m�lsetting for oss at vi ikke skal ha avvik i forhold til Norm for informasjonssikkerhet (heretter kalt Normen) og at det ikke skal inntreffe hendelser i helsenettet med sikkerhetsrisiko. Ethvert avvik og enhver u�nsket hendelse som likevel inntrer skal lukkes umiddelbart. Forutsetning for videre utvikling i bruken av IKT i helsesektoren er at alle parter har tillit til at informasjonssystemene sikrer rett konfidensialitet, integritet og tilgjengelighet. Pasientene skal ha tillit til at informasjonen ikke kommer uvedkommende i hende, Helsepersonellet m� kunne stole p� at den informasjonen de ser er korrekt og underlagt autorisert endring, og de m� ha tilgang til tjenestene n�r de har behov for det. Et s�rtrekk ved helsesektoren er at rolletilknytning ofte er en like viktig identifikator i forhold til tilgangsrettigheter som den personlige ID (ref behandlende lege/enhet). Dette fordrer tett kommunikasjon mellom ulike adgangsregistre. Ny strategi i NHN� sikkerhet

19. CSIRT I tr�d med strategi fra Nasjonal sikkerhetsmyndighet vil vi etablere og drifte CSIRT for sektoren (heretter kalt Helse CSIRT). Dette er en tjeneste hvor brukere i helse- og omsorgssektoren kan henvende seg om alvorlige sikkerhetshendelser. Helse CSIRT skal respondere raskt og effektivt ved trusler og/eller hendelser av sikkerhetsrelatert karakter. Helse CSIRT skal bli det naturlige sted � henvende seg n�r det oppst�r alvorlige sikkerhetshendelser i helse- og omsorgssektoren. � PKI�sertifikath�ndtering Vi skal tilrettelegge for en sikrere og bedre samhandling gjennom etablering av et felles PKI-regime for hele sektoren basert p� samarbeid med sentrale myndigheter og koordinert med andre sentrale akt�rer i sektoren. � NHN-kryptering N�r PKI-sertifikath�ndtering er p� plass vil vi tilrettelegge for utvidet kryptert samband mellom definerte lokasjoner/brukere ved hjelp av industristandard teknologi. � Tilgangskontroll Dette er en autentiseringstjeneste som skal sikre akt�rers tilgang til tjenester og informasjon p� tvers av sektoren. Tjenesten etableres i samarbeid med DIFIs ID-porten. � Hva skjer i 2011

20. Norm for informasjonssikkerhet (Normen) Vi skal bidra til at alle brukere i helsenettet etterlever og innfrir Normen. Dette skal skje gjennom informasjon, oppl�ring og tilrettelegging. I tillegg vil vi f�lge opp brukerne gjennom avtaler og revisjoner. � Overv�kingsverkt�y Vi skal tilpasse og implementere verkt�y for overv�king og rapportering av sikkerhetsrelaterte hendelser og tjenestekvalitet i helsenettet, registertjenester vi drifter og forvalter og �vrige tjenester. � Stabilitet og katastrofeberedskap I forbindelse med etablering av et eget datarom for utviklingsmilj�et og intern IKT-drift i Trondheim, vil det over tid bli etablert geografisk redundans for n�v�rende datarom i Troms�. Dette vil sikre h�y oppetid p� v�re tjenester, samt sikre tilgang p� tjeneste ved fullstendig bortfall av ett av datarommene. Hva skjer i 2011 � forts.

21. CSIRT � Computer Security Incident Response Team Behov ref. bl.a. Conficker forrige �r Tjenester - Varsling - Koordinering ved hendelser - Informasjonsdeling - Kompetanseoverf�ring Organiseres i Norsk Helsenett 3 personer ved oppstart Leder ansatt � starter ultimo mai Finansiering over statsbudsjettet (s�rskilt post) Etablering av CSIRT i helsesektoren

22. Avtaleoppf�lging Sikkerhetsrevisjon (hjemmel i avtale) Avviksregistrering Selvdeklarering Informasjon/ bevisstgj�ring Ta kontakt for evt. oppklaring! Oppf�lging av sikkerheten

23. FEIL, fordi: Best�r av mange lukkede VPN Begrenset tilgang til nettet � sektortilh�righet Juridiske rammevilk�r mht sikkerhet � normen Kryptert meldingsutveksling Kryptering av samband Oppf�lging av adferd i nettet Helsenettet ikke sikrere enn Internett!!