E N D
1. Ove Olsen
Sikkerhetssjef Norsk Helsenett Norm for informasjonssikkerhet – sikkerhet i Norsk Helsenett SF
2. | 2 Norm for informasjonssikkerhet Instruktørnotater:
Kursmodulen gir en oversikt over normen med tilhørende støttedokumenter
Instruktørnotater:
Kursmodulen gir en oversikt over normen med tilhørende støttedokumenter
3. | 3 1. Hva er Normen?
Informasjonssikkerhet
Virkemidler for å sikre personvernet
Konfidensialitet
Integritet
Tilgjengelighet
Kvalitet
Instruktørnotater:
Det enkeltes individs grunnleggende rettigheter
Datatilsynet skal påse at personvernet blir ivaretatt
Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket
Det moderne personvern har med informasjonsteknologi å gjøre
Angi eksempler på bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling på nett, svar fra kommunen på nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv
Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune?
Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL §13 og HRL §16
Innsatsområder på sikkerhet:
Teknisk, fagsystem, fysisk og organisatorisk sikkerhetInstruktørnotater:
Det enkeltes individs grunnleggende rettigheter
Datatilsynet skal påse at personvernet blir ivaretatt
Det finnes ingen definisjon av personvern og informasjonssikkerhet i lovverket
Det moderne personvern har med informasjonsteknologi å gjøre
Angi eksempler på bruk av teknologi: journalsystemer, mobilteknologi i hjemmetjenesten, timebestilling på nett, svar fra kommunen på nett, MinSide.no, telemedisin, videotjeneste, bruk av Internett, facebook, bruk av e-post, nettbank, osv
Be om deltagernes erfaringer: Ser dere noen utfordringer med sikkerhet i egen kommune?
Forklaring av begrepene konfidensialitet, integritet, tilgjengelighet og kvalitet. Med hjemmel i POL §13 og HRL §16
Innsatsområder på sikkerhet:
Teknisk, fagsystem, fysisk og organisatorisk sikkerhet
4. | 4 1. Hva er Normen? Kompleks sektor med 10 000+ virksomheter
Fragmentert lovverk
Normen:
Utviklet av sektoren og Datatilsynet
Basert på og dekker alle krav i lover og forskrifter
Normen kan stille strengere krav enn loven
Omforent i sektoren
Følges Normen - etterleves regelverket Instruktørnotater:
Økt samhandling utfordrer kravet til informasjonssikkerhet
Omtrent 35 lover og forskrifter angir regler om informasjonssikkerhet i helse- og sosialsektoren
Personopplysningsloven
Helseregisterloven
Helsepersonelloven
Pasientrettighetsloven
Journalforskriften
Alle som har deltatt i å utvikle Normen:
Den norske legeforening
representanter for de regionale helseforetak
Norsk Sykepleierforbund
Norges Apotekerforening
KS
I tillegg har følgende deltatt:
Datatilsynet
Helsetilsynet
NAV
Helsedirektoratet
Norsk Helsenett
Private laboratorier
Tannlegeforeningen
Den offentlige tannhelsetjenesten
I tillegg er Direktoratet for forvaltning og IKT observatør i arbeidet.
Normen kan stille strengere krav enn loven f.eks:
To uavhengige tekniske tiltak for beskyttelse av helse- og personopplysninger
Tofaktor autentisering
Presiser hva er forholdet mellom Norm og lov/forskift. Hva er bindende på hvilken måte.
(Nomen er bindende ved avtale, veiledere og faktaark er ikke bindende ved avtale)Instruktørnotater:
Økt samhandling utfordrer kravet til informasjonssikkerhet
Omtrent 35 lover og forskrifter angir regler om informasjonssikkerhet i helse- og sosialsektoren
Personopplysningsloven
Helseregisterloven
Helsepersonelloven
Pasientrettighetsloven
Journalforskriften
Alle som har deltatt i å utvikle Normen:
Den norske legeforening
representanter for de regionale helseforetak
Norsk Sykepleierforbund
Norges Apotekerforening
KS
I tillegg har følgende deltatt:
Datatilsynet
Helsetilsynet
NAV
Helsedirektoratet
Norsk Helsenett
Private laboratorier
Tannlegeforeningen
Den offentlige tannhelsetjenesten
I tillegg er Direktoratet for forvaltning og IKT observatør i arbeidet.
Normen kan stille strengere krav enn loven f.eks:
To uavhengige tekniske tiltak for beskyttelse av helse- og personopplysninger
Tofaktor autentisering
Presiser hva er forholdet mellom Norm og lov/forskift. Hva er bindende på hvilken måte.
(Nomen er bindende ved avtale, veiledere og faktaark er ikke bindende ved avtale)
5. | 5 1. Hva er Normen? Hvem gjelder Normen for?
Juridisk bindende for ”virksomheter” som er tilknyttet Norsk Helsenett (iht avtalen om tilknytning)
Kan være krav i en avtale (for eksempel databehandleravtale)
Veiledende for alle andre Instruktørnotater:
Se avtalen for tilknytning til helsenettet (jfr. forrige foil)
Med ”virksomhet” menes en juridisk enhet som legevirksomhet, helseforetak, private sykehus, apotek, apotekkjede, kommune, frittstående laboratorier, røntgeninstitutter, tannlege, universiteter, høyskole, stiftelser o.a.
Forklar hva databehandlingsansvarlig er.
Forklar hva en databehandleravtale er (referer til Datatilsynets veileder for Databehandleravtale).
Instruktørnotater:
Se avtalen for tilknytning til helsenettet (jfr. forrige foil)
Med ”virksomhet” menes en juridisk enhet som legevirksomhet, helseforetak, private sykehus, apotek, apotekkjede, kommune, frittstående laboratorier, røntgeninstitutter, tannlege, universiteter, høyskole, stiftelser o.a.
Forklar hva databehandlingsansvarlig er.
Forklar hva en databehandleravtale er (referer til Datatilsynets veileder for Databehandleravtale).
6. | 6 1. Hva er Normen? Formålet med Normen
Etablere tilfredsstillende informasjonssikkerhet
Ett regelsett
Stole på samhandlingspartner
Harmonisere sikkerheten mellom virksomheter i sektoren Instruktørnotater:
”Formålet med normen er:
1. at en virksomhet som etterlever og innretter seg etter normen har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger, og
2. at de som samhandler med en virksomhet som har forpliktet seg til å innrette seg etter normens krav, skal kunne stole på at denne virksomheten har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger.”
Instruktørnotater:
”Formålet med normen er:
1. at en virksomhet som etterlever og innretter seg etter normen har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger, og
2. at de som samhandler med en virksomhet som har forpliktet seg til å innrette seg etter normens krav, skal kunne stole på at denne virksomheten har tilfredsstillende informasjonssikkerhet for sin behandling av helse- og personopplysninger.”
7. | 7 2. Normens oppbygging og innhold Styrende del
Gjennomførende del
Kontrollerende del
www.normen.no
Instruktørnotater:
Gå inn på www.normen.no
Vise struktur på nettstedet
Pek på Normen
Pek på faktaark
Pek på veiledere
Gå gjennom innholdsfortegnelse og oppbyggingen av NormenInstruktørnotater:
Gå inn på www.normen.no
Vise struktur på nettstedet
Pek på Normen
Pek på faktaark
Pek på veiledere
Gå gjennom innholdsfortegnelse og oppbyggingen av Normen
8. | 8 2. Normens oppbygging og innhold Styrende del – viktige områder
Ordfører har formelt det overordnede ansvaret
Etablere mål og strategi for informasjons-sikkerhet
Nivå for akseptabel risiko
Utarbeide oversikt over behandlinger
Sende melding til Datatilsynet evt. til personvernombud
Instruktørnotater:
Presiser at ordfører har ansvaret og delegerer oppgaver i egen organisasjon, normalt rådmann som øverste administrativt ansvarlige i kommunen
Også andre som har delegert ansvar for å utføre oppgaven: drift av IT og sikkerhetsansvar
Alle tiltak som etableres skal bygge på mål og strategi for informasjonssikkerhet
Instruktøren beskriver hva sikkerhetsmål og sikkerhetsstrategi er. Gi eksempler.
Nivå for akseptabel risiko; hva tåler kommunen og hva tåle den ikke: Har noen deltagere eksempler på hva som er brudd på nivå for akseptabel risiko? (Hvor skal lista ligge?)
Behandlinger kan normalt ikke likestilles med fagsystem og system for tjenestedokumentasjon fordi et system kan dekke flere behandlinger
De som har personvernombud som er godkjent av Datatilsynet trenger ikke å sende melding Datatilsynet.Instruktørnotater:
Presiser at ordfører har ansvaret og delegerer oppgaver i egen organisasjon, normalt rådmann som øverste administrativt ansvarlige i kommunen
Også andre som har delegert ansvar for å utføre oppgaven: drift av IT og sikkerhetsansvar
Alle tiltak som etableres skal bygge på mål og strategi for informasjonssikkerhet
Instruktøren beskriver hva sikkerhetsmål og sikkerhetsstrategi er. Gi eksempler.
Nivå for akseptabel risiko; hva tåler kommunen og hva tåle den ikke: Har noen deltagere eksempler på hva som er brudd på nivå for akseptabel risiko? (Hvor skal lista ligge?)
Behandlinger kan normalt ikke likestilles med fagsystem og system for tjenestedokumentasjon fordi et system kan dekke flere behandlinger
De som har personvernombud som er godkjent av Datatilsynet trenger ikke å sende melding Datatilsynet.
9. | 9 2. Normens oppbygging og innhold Gjennomførende del – viktige områder
Tilgangstyring
Datakommunikasjon (samhandling internt og eksternt)
Opplæring
Avtaler
Databehandleravtale - se www.datatilsynet.no
Leverandør – fjernaksess til fagapplikasjon Instruktørnotater:
Tilgangsstyring – Forklar forskjellen på disse:
Autorisering (roller, behov)
Autentisering (rolle, en faktor, tofaktor)
Datakommunikasjon
Kryptering (forklar hva kryptering er)
Pseudonymisering (forklar hva dette er)
Gå inn på www.datatilsynet.no og vis mal for databehandleravtale: http://www.datatilsynet.no/templates/article____2742.aspx
Fjernaksess
Orientere om hvilke krav som stilles til leverandør og virksomhet
Egen veileder
Egen kursmodulInstruktørnotater:
Tilgangsstyring – Forklar forskjellen på disse:
Autorisering (roller, behov)
Autentisering (rolle, en faktor, tofaktor)
Datakommunikasjon
Kryptering (forklar hva kryptering er)
Pseudonymisering (forklar hva dette er)
Gå inn på www.datatilsynet.no og vis mal for databehandleravtale: http://www.datatilsynet.no/templates/article____2742.aspx
Fjernaksess
Orientere om hvilke krav som stilles til leverandør og virksomhet
Egen veileder
Egen kursmodul
10. | 10 2. Normens oppbygging og innhold Kontrollerende del – viktige områder
Sikkerhetsrevisjon
Gjennomføres etter prinsippene for internkontroll av HMS
Ekstern sikkerhetsrevisjon
Med hjemmel i avtale: for eksempel Norsk Helsenett
Risikovurdering
Avvikshåndtering
Ledelsens gjennomgang
Instruktørnotater:
Sikkerhetsrevisjon
Hva menes med sikkerhetsrevisjon
Skal gjennomføres minimum årlig
Risikovurdering
Skal gjennomføres før oppstart av behandling av helse- og personopplysninger og ved vesentlige endringer
For eksempel ved: tilknytning til helsenettet, omstrukturering av nettet, omorganisering av kommunen, mv.
Er ikke risikovurdering gjennomført før oppstart, må gjøre det nå
Avvikshåndtering
All bruk av nødrettstilgang (blålys) skal behandles som avvik
Ta også andre dagligdagse hendelser – Peke tilbake til foilen med sikkerhetsbrudd
Ledelsens gjennomgang
Status på sikkerhetsområdet, revisjon av mål og strategi, sikkerhetsrevisjoner, avvik, organisering, osv
Gjennomføres minimum årligInstruktørnotater:
Sikkerhetsrevisjon
Hva menes med sikkerhetsrevisjon
Skal gjennomføres minimum årlig
Risikovurdering
Skal gjennomføres før oppstart av behandling av helse- og personopplysninger og ved vesentlige endringer
For eksempel ved: tilknytning til helsenettet, omstrukturering av nettet, omorganisering av kommunen, mv.
Er ikke risikovurdering gjennomført før oppstart, må gjøre det nå
Avvikshåndtering
All bruk av nødrettstilgang (blålys) skal behandles som avvik
Ta også andre dagligdagse hendelser – Peke tilbake til foilen med sikkerhetsbrudd
Ledelsens gjennomgang
Status på sikkerhetsområdet, revisjon av mål og strategi, sikkerhetsrevisjoner, avvik, organisering, osv
Gjennomføres minimum årlig
11. | 11 3. Faktaark og veiledere Faktaark og veiledere omhandler ulike temaer og angir forslag til løsninger
Angir eksakte krav og veiledninger
www.normen.no
Faktaark
Eksempel: Faktaark 42 – Bruk av SMS i pasientkontakt Instruktørnotater:
Normen stiller kravene (hva) og faktaark og veiledere angir hvordan kravet kan ivaretas. Andre løsninger er også tillat
Gå inn på www.normen.no og vis faktaark og veiledere med temagjennomgang
Bruk det aktuelle dokumentet – ikke lese alle
Eksempel
Åpne faktaark 42 og gå gjennom header og innhold – alle ark er bygget opp på samme måten
Dette faktaarket inneholder både krav og veiledninger; tillatt, forbudt og bør unngås ifm SMSInstruktørnotater:
Normen stiller kravene (hva) og faktaark og veiledere angir hvordan kravet kan ivaretas. Andre løsninger er også tillat
Gå inn på www.normen.no og vis faktaark og veiledere med temagjennomgang
Bruk det aktuelle dokumentet – ikke lese alle
Eksempel
Åpne faktaark 42 og gå gjennom header og innhold – alle ark er bygget opp på samme måten
Dette faktaarket inneholder både krav og veiledninger; tillatt, forbudt og bør unngås ifm SMS
12. | 12 3. Faktaark og veiledere Veiledere om:
Fjernaksess
Forskning
Tilknytning av kommunen til helsenettet
Helse- og sosialtjenesten i kommunen og fylkeskommunen
Tannhelsetjenesten
Legekontor Instruktørnotater:
Formelt navn:
Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet
Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren
Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet
Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner
Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder
Personvern og informasjonssikkerhet for legekontorer - en veileder
Nevne at det er overlapp mellom enkelte veiledere.
Omtale den enkelte veiledere i korte trekk
Flere på beddingen bl.a. knyttet til tilgang på tvers
Nevne at det utarbeides løpende nye veiledereInstruktørnotater:
Formelt navn:
Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet
Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren
Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet
Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner
Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten - en veileder
Personvern og informasjonssikkerhet for legekontorer - en veileder
Nevne at det er overlapp mellom enkelte veiledere.
Omtale den enkelte veiledere i korte trekk
Flere på beddingen bl.a. knyttet til tilgang på tvers
Nevne at det utarbeides løpende nye veiledere
13. | 13 4. Hvordan gå frem for å ivareta kravene i Normen? Ledelsesforankring i kommunen
Etablere eller revidere styringssystem for informasjonssikkerhet (forholdsmessig sikring)
Opplæring/ Opplæring av instruktører
Gjennomføre nødvendige tiltak
Sørge for kontinuitet og løpende lederforankring
Instruktørnotater:
Forklar hva som menes med forholdsmessig sikring.
Kartlegge status – f.eks bruk av Faktaark 6 – eget skjema med samtlige krav i Normen
Kontinuitet: Følge med nye faktaark – endringer på normen.no
Kontinuitet: Ledelsen årlige gjennomgangInstruktørnotater:
Forklar hva som menes med forholdsmessig sikring.
Kartlegge status – f.eks bruk av Faktaark 6 – eget skjema med samtlige krav i Normen
Kontinuitet: Følge med nye faktaark – endringer på normen.no
Kontinuitet: Ledelsen årlige gjennomgang
14. | 14 5. Forvaltning av Normen Bestemmende: Styringsgruppen for Normen
Helsedirektoratet har ansvaret for å forvalte informasjonssikkerhetsarbeidet i sektoren
Sekretariat for Normen: Helsedirektoratet
sikkerhetsnormen@helsedir.no
Tilgjengelighet: www.normen.no
Instruktørnotater:
Helsedirektoratet har ansvaret for å forvalte Normen og støttedokumentene gjennom et sekretariat
Virksomhetene har selv det faktiske ansvaret for å etterleve Normen
Virksomhetene / sektoren kan foreslå nye støttedokumenter
Instruktørnotater:
Helsedirektoratet har ansvaret for å forvalte Normen og støttedokumentene gjennom et sekretariat
Virksomhetene har selv det faktiske ansvaret for å etterleve Normen
Virksomhetene / sektoren kan foreslå nye støttedokumenter
15. | 15 Sikkerhet i Norsk Helsenett SF Instruktørnotater:
Kursmodulen gir en oversikt over normen med tilhørende støttedokumenter
Instruktørnotater:
Kursmodulen gir en oversikt over normen med tilhørende støttedokumenter
16. Målrettede trojanere
Cyberkrig ref. Stuxnet
Rettede DOS angrep – Wikileaks
Sosial manipulering
Mobiltelefoner
Ormer som oppdaterer seg selv over nettet
Bruk av sosiale medier
Dagens trusselbilde
17. Hovedformålet med etablering av Norsk Helsenett SF er å videreutvikle en sikker IKT-infrastruktur for forvaltning og kommunikasjon av informasjon, samt telemedisinske løsninger i helse- og omsorgssektoren.
Statsforetaket skal bidra til at en standardisert IKT-infrastruktur med felles tjenester blir gjort tilgjengelig på nasjonalt plan, og gjennom dette medvirke til å oppnå helsepolitiske mål om kvalitet, lik tilgjengelighet til helsetjenester, effektivisering og informasjonssikkerhet.
Norsk Helsenett - Ny strategi
18. Det er en målsetting for oss at vi ikke skal ha avvik i forhold til Norm for informasjonssikkerhet (heretter kalt Normen) og at det ikke skal inntreffe hendelser i helsenettet med sikkerhetsrisiko.
Ethvert avvik og enhver uønsket hendelse som likevel inntrer skal lukkes umiddelbart.
Forutsetning for videre utvikling i bruken av IKT i helsesektoren er at alle parter har tillit til at informasjonssystemene sikrer rett konfidensialitet, integritet og tilgjengelighet.
Pasientene skal ha tillit til at informasjonen ikke kommer uvedkommende i hende,
Helsepersonellet må kunne stole på at den informasjonen de ser er korrekt og underlagt autorisert endring, og de må ha tilgang til tjenestene når de har behov for det.
Et særtrekk ved helsesektoren er at rolletilknytning ofte er en like viktig identifikator i forhold til tilgangsrettigheter som den personlige ID (ref behandlende lege/enhet). Dette fordrer tett kommunikasjon mellom ulike adgangsregistre.
Ny strategi i NHN– sikkerhet
19. CSIRT
I tråd med strategi fra Nasjonal sikkerhetsmyndighet vil vi etablere og drifte CSIRT for sektoren (heretter kalt Helse CSIRT). Dette er en tjeneste hvor brukere i helse- og omsorgssektoren kan henvende seg om alvorlige sikkerhetshendelser. Helse CSIRT skal respondere raskt og effektivt ved trusler og/eller hendelser av sikkerhetsrelatert karakter. Helse CSIRT skal bli det naturlige sted å henvende seg når det oppstår alvorlige sikkerhetshendelser i helse- og omsorgssektoren.
PKI–sertifikathåndtering
Vi skal tilrettelegge for en sikrere og bedre samhandling gjennom etablering av et felles PKI-regime for hele sektoren basert på samarbeid med sentrale myndigheter og koordinert med andre sentrale aktører i sektoren.
NHN-kryptering
Når PKI-sertifikathåndtering er på plass vil vi tilrettelegge for utvidet kryptert samband mellom definerte lokasjoner/brukere ved hjelp av industristandard teknologi.
Tilgangskontroll
Dette er en autentiseringstjeneste som skal sikre aktørers tilgang til tjenester og informasjon på tvers av sektoren. Tjenesten etableres i samarbeid med DIFIs ID-porten.
Hva skjer i 2011
20. Norm for informasjonssikkerhet (Normen)
Vi skal bidra til at alle brukere i helsenettet etterlever og innfrir Normen. Dette skal skje gjennom informasjon, opplæring og tilrettelegging. I tillegg vil vi følge opp brukerne gjennom avtaler og revisjoner.
Overvåkingsverktøy
Vi skal tilpasse og implementere verktøy for overvåking og rapportering av sikkerhetsrelaterte hendelser og tjenestekvalitet i helsenettet, registertjenester vi drifter og forvalter og øvrige tjenester.
Stabilitet og katastrofeberedskap
I forbindelse med etablering av et eget datarom for utviklingsmiljøet og intern IKT-drift i Trondheim, vil det over tid bli etablert geografisk redundans for nåværende datarom i Tromsø. Dette vil sikre høy oppetid på våre tjenester, samt sikre tilgang på tjeneste ved fullstendig bortfall av ett av datarommene. Hva skjer i 2011 – forts.
21. CSIRT – Computer Security Incident Response Team
Behov ref. bl.a. Conficker forrige år
Tjenester - Varsling - Koordinering ved hendelser - Informasjonsdeling - Kompetanseoverføring
Organiseres i Norsk Helsenett
3 personer ved oppstart
Leder ansatt – starter ultimo mai
Finansiering over statsbudsjettet (særskilt post)
Etablering av CSIRT i helsesektoren
22. Avtaleoppfølging
Sikkerhetsrevisjon (hjemmel i avtale)
Avviksregistrering
Selvdeklarering
Informasjon/ bevisstgjøring
Ta kontakt for evt. oppklaring!
Oppfølging av sikkerheten
23. FEIL, fordi:
Består av mange lukkede VPN
Begrenset tilgang til nettet – sektortilhørighet
Juridiske rammevilkår mht sikkerhet – normen
Kryptert meldingsutveksling
Kryptering av samband
Oppfølging av adferd i nettet
Helsenettet ikke sikrere enn Internett!!