Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

PublisertTorvald Johannessen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1"— Utskrift av presentasjonen:

1 Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1 Alle deltagere skal ha med veilederen (papir eller elektronisk) Norm for informasjonssikkerhet Modul 4 – Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet

2 Innhold Bakgrunn for veilederen Tema for veilederen
Krav til sikkerhet ved fjernaksess Referansemodeller for fjernaksess Avtaler og rutiner Sjekklister Instruktørnotater: Målgruppe: IT-sjef Sikkerhetskoordinator Personvernombud Databehandler Leverandør Spørre hvilke roller som er i salen? Gå gjennom kursets innhold pkt 1 til 6? Invitere til spørsmål i løpet av kurset

3 1. Bakgrunn for veilederen
Leverandører til helsesektoren og kommunen forventer fjernaksess for vedlikehold og oppdateringer av leveranser Ingen gjeldende standard for sikker fjernaksess Usikkerhet rundt krav til sikkerhet i eksisterende løsninger for fjernaksess Instruktørnotater: Orienter om hva fjernaksess er: leverandør kobler seg til utstyr/løsninger i virksomheten (ad-hoc eller permanent) Orientere om bruk av fjernaksess; oppdateringer med nye versjoner, test og utvikling, driftsovervåkning, sending av feildiagnoser, feilretting i og utenfor virksomheten, drift, mv Spørsmål: Har noen av dere fjernaksess og ser dere noen utfordringer med bruk av fjernaksess i kommunen? Eksempler: IKT-utstyr (SAN, server, db, kopimaskiner), telefonsentral, leverandører av fagsystemer (EPJ, lab, RIS/PACS, osv), økonomisystemer EPJ leverandør har direkte tilgang til legens PC uten at legen godkjenner det Leverandører har vært med å utarbeide veilederen: RIS/PACS EPJ Meldingsutveksling Faktaark 36 – Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet er sentralt for kommunen

4 Stiller krav til leverandøren Stiller krav til kommunen
2. Tema for veilederen Stiller krav til leverandøren Stiller krav til kommunen Beskriver tekniske løsninger Beskriver avtaler og rutiner Instruktørnotater: Åpne normen.no og vise veilederen med innholdsfortegnelse og kapitler/struktur Veilederen er omfattende i temaer, men i dette kurset omtales de viktigste temaene. Det er selvfølgelig åpning for å stille spørsmål om andre temaer

5

6 3. Krav til sikkerhet ved fjernaksess
Adskilt supportnettverk hos leverandør Tofaktor autentisering Personlig autentisering Kryptering av datakommunikasjonen Hendelsesregistrering og gjennomgang av hendelsesregistre Avtale – taushetserklæring/sikkerhetsinstruks Skriftlige prosedyrer Instruktørnotater: Sikkerhetskravene hos leverandør og hos kommunene vil speile hverandre (jfr. inndelingen i veilederen) Hendelsesregistrering - i leverandørens og kommunenes systemer og nettverk skal det loggføres: ID for servicemedarbeider og når autorisert medarbeider logget seg på og logget seg av Initiert trafikk mot hvilke maskin(er) og portnumre Hva som er utført (kommandoer, transaksjoner, osv). Om mulig skal angivelse av tid for utført kommando også logges Hvilke data/datafiler som er lastet ned til leverandør (datafiler) eller opp til virksomhet (programfiler og patcher) Se også faktaark 15 – Hendelsesregistrering (logging) og oppfølging Vis faktaark 15.

7 3. Krav til sikkerhet ved fjernaksess
Styringssystem for informasjonssikkerhet Risikovurdering Skal gjennomføres før leverandøren får tilgang til kommunens nett Avvik Leverandøren må følge Normen Instruktørnotater: Styringssystemene: Leverandøren må harmonisere sitt styringssystem med kommunens Leverandøren må følge Normen om den eller kommunen er tilknytet helsenettet. Ellers ved avtale. Eksempler på risikovurdering: a) Bruk av predefinert utstyr for aksess til fjernaksessløsningen b) Bruk av opp- og nedlasting av tekniske rettinger i programmer og konfigurasjonsparametere c) Krav til leverandørens nettverk og utstyr d) Krav til separasjon mellom leverandørens nettverk- og utstyr som benyttes til fjernaksess slik at leverandørens øvrige personell ikke har tilgang til løsningen for fjernaksess e) Leverandørens mobile løsning f) Rutiner og avtaler som må være på plass ut fra øvrige krav i virksomhetens styringssystem for informasjonssikkerhet g) Tiltak mot ondsinnet programvare h) Opplasting / sletting av datafiler med helse- og personopplysninger til leverandør Avvik: Gjensidig ansvar for å varsle hverandre om sikkerhetshendelser iht. prosedyrer Varsle Datatilsynet ved sikkerhetsbrudd med betydning for konfidensialiteten

8

9 4. Referansemodeller ved fjernaksess
Terminalserver og engangspassord Privat linje og engangspassord Instruktørnotater:

10 4. Referansemodeller ved fjernaksess
Terminalserver og engangspassord Instruktørnotater: Eksempelet under viser bruk av terminalserver og engangspassordgenerator. Figuren illustrerer at: Virksomheten drifter og administrerer server for engangspassord Virksomheten drifter terminalserver Leverandøren har atskilt nettverk for vedlikehold og oppdateringer (atskilt supportnettverk) Servicemedarbeider hos leverandør har fått utlevert engangspassordgenerator (Token) fra virksomhet Helsenettet benyttes for kommunikasjon Si at det må avklares med helsenettet ytterligere tekniske krav og løsning for fjernadministrasjon. For små virksomheter kan deler av den tekniske løsningen i virksomheten leveres av leverandøren. For eksempel server for engangspassord og terminalserver for tilgang til journalsystem. Terminalserver kan plasseres hos leverandør, men det må da være en annen krypteringsløsning i tillegg.

11 4. Referansemodeller ved fjernaksess
Privat linje og engangspassord Instruktørnotater: Endre tegning --- leverandør - virksomhet Eksempelet under viser bruk privat linje og engangspassordgenerator. Figuren illustrerer at: Virksomheten drifter og administrerer server for engangspassord Virksomheten drifter terminalserver Leverandøren har atskilt nettverk for vedlikehold og oppdateringer (atskilt supportnettverk) Servicemedarbeider hos leverandøren har fått utlevert engangspassordgenerator (Token) fra virksomhet Privat og dedikert kommunikasjonslinje (f.eks ADSL eller ISDN) benyttes. En slik mulighet kan i utgangspunktet ikke benyttes av virksomheten som er tilknyttet helsenettet Oppkobling av den eksterne forbindelsen skal sikres slik at kun leverandørens definerte utstyr (f.eks en ruter) kan koble opp. Eksempler på teknologier for å implementere en slik beskyttelse er: Closed User Group (CUG), Chap passord, tilbakeringing

12 5. Avtaler og rutiner Forslag til tekst i bilag til vedlikeholdsavtale mellom virksomhet og leverandør Rutiner Instruktørnotater: Vis forslag til tekst i vedlikeholdsavtalen som vedlegg til veilederen på Vis rutineoversikt i kap 5.3 for hhv leverandør og virksomhet på NB! I rutinene: Kommunen må bestille åpninger i sikkerhetsbarrierer i helsenettet (kontakt Norsk Helsenett)

13 Sjekkliste for etablering / verifikasjon av oppkobling
6. Sjekklister Sjekkliste for etablering / verifikasjon av oppkobling Sjekkliste fjernaksess Sjekkliste for risikovurdering Instruktørnotater: Vise sjekklistene i veilederen på

Laste ned ppt "Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1"

Liknende presentasjoner

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Systematisk HMS arbeid

Systematisk HMS arbeid
Felles rutiner for institusjonene?. Hvorfor? •Kvalitetssikring •Enhetlig rapportering •Mobilitet 3.

Felles rutiner for institusjonene?. Hvorfor? •Kvalitetssikring •Enhetlig rapportering •Mobilitet 3.
Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.

Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Forslag til sikkerhetsaktiviteter i SSP for 2005 Sjefrådgiver/avd.sjef Bjarte Aksnes, KITH.

Forslag til sikkerhetsaktiviteter i SSP for 2005 Sjefrådgiver/avd.sjef Bjarte Aksnes, KITH.
Sikkerhetsrevisjon Fra: Ove Olsen Sendt: 20. september :49

Sikkerhetsrevisjon Fra: Ove Olsen Sendt: 20. september :49
Internkontroll i kommuner

Internkontroll i kommuner
Prosjekt KomUt Kommunal utbredelse av meldinger

Prosjekt KomUt Kommunal utbredelse av meldinger
Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)

Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)
Www.normen.no | 1 Norm for informasjonssikkerhet Modul 2 – Internkontroll av personvern og sikkerhet på tannklinikken.

| 1 Norm for informasjonssikkerhet Modul 2 – Internkontroll av personvern og sikkerhet på tannklinikken.
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Www.physica.no www.physica.no ©2013 Physica Physica ER ET PRODUKT LEVERT AV ASPIT ©2013 Physica.

©2013 Physica Physica ER ET PRODUKT LEVERT AV ASPIT ©2013 Physica.
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.

Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
FUNNKe Regionalt kompetanseløft innen elektronisk samhandling ALF – drift og rutiner ved Lars-Andreas Wikbo Line Nordgård.

FUNNKe Regionalt kompetanseløft innen elektronisk samhandling ALF – drift og rutiner ved Lars-Andreas Wikbo Line Nordgård.
Meldingsløftet/ FUNNKe prosjekt. IKT –samarbeid i Lofoten

Meldingsløftet/ FUNNKe prosjekt. IKT –samarbeid i Lofoten
«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.

«Sammen om Kvalitet» Informasjon om kvalitet, kvalitetssystem og avvikssystem Kurs tillitsvalgte Utdanningsforbundet 23.mai 2013 Kjell Meen, kvalitetssjef.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen

Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Normen for IKT-ansvarlege.

Normen for IKT-ansvarlege.
Normen i SiO - forpliktelser og lederforankring

Normen i SiO - forpliktelser og lederforankring

Liknende presentasjoner

Annonser fra Google