Bilag 1 IT-teknisk rammeverk og informasjonssikkerhet ved SiVHF

Transkript

1 Dato: Side:1 / 17 Bilag 1 IT-teknisk rammeverk og informasjonssikkerhet ved SiVHF v. 1.0 Side 1 av 17 Versjon 1.0

2 Dato: Side:2 / 17 Innhold 1 IT teknisk rammeverk Orientering Teknisk krav Infrastruktur Sykehuspartner leverer server Leverandør leverer egen fysisk server (opsjon) PC klienter i prosjektet Tjener- og databaseplattform Applikasjonsleveranse Nettverk Lagring, Backup og Restore Overvåking Klientapplikasjon Terminalservere VPN og fjerndriftsløsninger Generelle printløsninger Kabling Integrasjon systemer /Utvikling Sikkerhet Generelt Krav til informasjonssikkerhet VEDLEGG Vedlegg A Sykehuspartner gjeldende produktliste (GPL) Side 2 av 17 Versjon 1.0

3 Dato: Side:3 / 17 1 IT teknisk rammeverk 1.1 Orientering Bilaget presenterer på tabellform en sammenfatning av teknologistandarder og krav som forutsettes benyttet ved. Innholdet i dokumentet vil følge med som vedlegg til alle forespørsler som blir sendt ut for Sykehuset i Vestfold HF. På grunn av at teknologien er preget av hurtige endringer, vil det være nødvendig å revidere dokumentet med jevne mellomrom (typisk 1 gang per år). Dokumentet vil derfor være et dynamisk dokument. Kablingssystemet og datanettet ved vil bli benyttet av svært mange systemer og applikasjoner. For å oppnå gode og effektive operative og tekniske driftsforhold, er det nødvendig å ha definert et sett av teknologistandarder som skal gjelde for sykehusets infrastruktur inkludert kabling, datanett med tilknyttet utstyr/systemer. Det vil si at alle systemer og applikasjoner som skal installeres ved det nye - sykehuset og inngå i en felles IKT-driftsløsning skal være basert på disse teknologistandardene. Alle anlegg /systemer/utstyr som skal tilknyttes sykehusets felles infrastruktur, må fysisk kunne tilkoples til datanettet, dvs. at de må være tilpasset transmisjonsmedier og kontakttyper som finnes i kablingssystemet, og de må benytte de teknologiske standardene (Ethernet, TCP/IP, Windows osv.) som blir definert for datanettet og tilknyttet utstyr. Andre utstyr og teknologi standarder enn de som er nevnt i tabellen kan ikke tas i bruk uten at det på forhånd er avklart og avtalt med Byggherren. Dokumentet er utarbeidet med bakgrunn i de IT-teknologi standardene som er i bruk ved Sykehuset i Vestfold og Helse SIVr-Øst i dag, og som forventes å ville være gjeldende standarder ved oppstart av i Standardene gjenspeiler standarder pr. januar Det er forventet en utvikling i disse standardene frem til Sykehuspartner vil inneha en GPL (Gjeldene produktliste) som til enhver tid er oppdatert med gjeldene versjoner av programvare, og gjeldene maskinmodeller som skal benyttes. Dette vil være programvare som følger vanlige industristandarder. Sykehuspartner GPL vil oppdateres jevnlig med et intervall på hver 6. måned. Sykehuspartner GPL vil følge som et eget vedlegg til dette bilaget (se Vedlegg A Sykehuspartner gjeldende produktliste (GPL)). Valg av programvare versjoner og maskinvare modeller skal gjøres i henhold til Sykehuspartner sin GPL på tidspunktet for implementering av løsningen. 1.2 Teknisk krav Infrastruktur Sykehuspartner ønsker primært å levere alle servere og klienter til entreprisene i henhold til Sykehuspartner sine gjeldende standarder. Alternativene for leveranse av serverløsning(er) er beskrevet i kapitlene og nedenfor. Side 3 av 17 Versjon 1.0

4 Dato: Side:4 / Sykehuspartner leverer server Sykehuspartner ønsker primært å levere alle servere som skal benyttes i sykehuset. Disse vil bli levert i henhold til Sykehuspartner sine gjeldende standarder. Dette gjelder først og fremst virtuell server løsning, men også fysisk server løsning. Valg av løsning avklares under designfasen. Type Maskinvare OS Antimalware Overvåking Verdi Virtuell server basert på VMware vsphere infrastruktur, eller fysisk server i henhold til Sykehuspartner GPL. Microsoft Windows Server 2008 R2, RedHat Enterprise Linux 6 eller gjeldende p.t. i henhold til Sykehuspartner GPL. Alternativt Microsoft Windows Server 2008 dersom 32-bits operativsystemet er påkrevet. Trend Deep Security for virtuelle servere, eller Microsoft Forefront Client Security for fysiske servere. Microsoft System Center Operations Manager 2007 eller nyere i henhold til Sykehuspartner GPL Leverandør leverer egen fysisk server (opsjon) Leverandøren skal som opsjon tilby en komplett serverleveranse. I denne opsjonen så skal følgende kriterier ivaretas: Type Maskinvare OS Antimalware Overvåking Verdi Fysisk server som kan monteres i serverrack. Modell skal velges i henhold til Sykehuspartner GPL. Microsoft Windows Server 2008 R2, RedHat Enterprise Linux 6 eller gjeldende p.t. i henhold til Sykehuspartner GPL. Alternativt Microsoft Windows Server 2008 dersom 32-bits operativsystemet er påkrevet. Microsoft Forefront Client Security, Microsoft System Center Operations Manager 2007 eller nyere i henhold til Sykehuspartner GPL PC klienter i prosjektet Sykehuspartner ønsker primært å levere alle klienter som skal benyttes i sykehuset. Disse vil bli levert i henhold til Sykehuspartner sine gjeldende standarder (GPL). Dersom leverandøren av tekniske årsaker mener at dette ikke er hensiktsmessig, skal dette fremkomme i tilbudt løsning. Valg av endelig løsning avklares under designfasen. Type Maskinvare OS Antimalware Verdi Modell skal velges i henhold til Sykehuspartner GPL. Microsoft Windows Windows 7 32 bit eller gjeldende p.t. i henhold til Sykehuspartner GPL. Der det er behov for 64 bits operativsystem må dette spesifiseres. Trend Office scan eller Microsoft Forefront Client Security Side 4 av 17 Versjon 1.0

5 Dato: Side:5 / Tjener- og databaseplattform Nr. Krav Løsningen må kunne kjøres på en virtuell server infrastruktur. 1 I de tilfeller der sertifisering og/eller lisensiering av produkter som inngår i løsningen hindrer en kostnadseffektiv utnyttelse av en virtuell infrastruktur må dette gjøres rede for. 2 Løsningen skal kunne driftes i et teknisk miljø med HA-design (high availability) som inkluderer clustring av tjenester (database), speiling av data og eventuelt andre HA mekanismer. 3 Tjenerinstallasjonen skal kunne installeres på Microsoft Windows Server 2008 R2, RedHat Enterprise Linux 6 eller nyere i henhold til Sykehuspartner GPL. 4 Tjenerinstallasjonen skal kunne installeres på Microsoft SQL Server 2008 R2, Oracle 12g eller nyere i henhold til Sykehuspartner GPL. 5 Ved integrasjon mot katalogtjenester skal eksisterende katalogtjeneste basert på Microsoft Active Directory benyttes. 6 Alle tjenerne skal inngå i Sykehuspartner sitt automatiske patche regimet som innebærer automatisk installasjon av godkjente Windows oppdateringer innenfor kategoriene kritiske- og sikkerhetsoppdateringer. Servere klassifiseres i forhold til hva disse er usatt for av trusler. F.eks. mest utsatt = DMZ servere, mindre utsatt = interne servere og om brukerne er berørt ved installasjon av patch. Patcher og oppdateringer klassifiseres i forhold til viktighet, sikkerhet, Dette patch management regimet følger Sykehuspartner sin prosess for change management, som blant annet inkluderer prosedyrer for test, godkjenning, rollback osv. 7 Alle tjenere blir levert med antimalware beskyttelse. Behov for eventuelle ekskluderinger eller andre tilpasninger skal beskrives av Leverandør. 8 Alle tjenester må starte automatisk ved restart. Det skal ikke være behov for manuelle rutiner rundt oppstart av tjenester etter en omstart av tjener. 9 Alle programmer må kunne startes som servicer, ikke pålogget desktop på server. Det skal ikke være behov for manuelle innlogging av driftspersonell for å starte opp tjenester etter en omstart av server. 10 Bør støtte dynamiske innstillinger (FQDN, DFS, UNC etc.). Det er ikke ønskelig å benytte IP adresser og andre statiske verdier i konfigurasjonen. Dette bør i stedet håndteres ved bruk av FQDN ved referanse til tjenernavn osv. 11 Applikasjoner må støtte installasjon på annet enn system (C) disk. Det er ønskelig å holde applikasjoner adskilt fra systemdisk, og applikasjonene må derfor kunne støtte installasjon på annen stasjonsbokstav. 12 Løsningen bør ikke kreve fysiske dongle eller annet fysisk tilkoblet utsyr på tjeneren Applikasjonsleveranse Det legges opp til en fleksibel distribusjon av applikasjonen ut til alle klienter. Side 5 av 17 Versjon 1.0

6 Dato: Side:6 / 17 Nr Krav 1 Applikasjonen med alle plugins skal kunne installeres og kjøres uten utvidede rettigheter på klienten. Med dette menes standard brukerrettigheter. 2 Programvare leveres som ferdige installasjonspakker som MSI fil og etter gjeldende format etter foretakets standarder. 3 Applikasjonen må kunne la seg distribueres med leveranseverktøy som SCCM og App-V for Windows 7 eller nyere og Windows Server 2003 eller nyere Nettverk Nasjonalt Helsenett er etablert som et knutepunkt mellom alle Helseregionene. Innenfor hver helseregion/helseforetak er det ulike WAN-løsninger. Nr. Krav 1 All kommunikasjon skal være basert på IP protokoll (versjon 4 og 6). Dette gjelder både intern og ekstern kommunikasjon Lagring, Backup og Restore Det benyttes sentral SAN-løsning ved Helseforetaket og det er en forutsetning at tilbudt løsning tar i bruk denne fullt ut ved behov for lagring til SAN. Det er også etablert sentralisert backup løsning. Nr. Krav 1 Backup av løsningen skal i sin helhet kunne foretas av en sentralisert backup løsning. Backup av system- og brukerdata som er lagret sentralt, skal ikke påvirke ytelsen, ved normal belastning, slik at brukerens opplevde kvalitet av løsningen reduseres. 2 Applikasjonen skal kunne speiles mellom to datasenter. Leverandøren bes å beskrive anbefalt løsning for HA løsning. 3 Applikasjonen skal kunne konfigureres til å kunne arkivere data ut fra konfigurerbare policies til forskjellige lagringsnivåer i kundens lagringsløsninger. Dette må kunne gjøres både automatisk og manuelt. Eksempel: historikk er online i løsningen, men lagres på rimeligere medium enn nyere data Overvåking Nr. Krav 1 Alle deler av løsningen skal kunne sende og motta data fra/til ett sentralt overvåkningssystem. Spesifiser hvilke slike som støttes uten modifikasjoner utover leveransen Klientapplikasjon Nr. Krav 1 Løsningen skal være uavhengig av spesifikke komponenter som for eksempel MS Office, MDAC og tilsvarende. Side 6 av 17 Versjon 1.0

7 Dato: Side:7 / 17 2 Klientapplikasjon skal kunne installeres på Microsoft Windows 7 eller nyere etter helseforetakenes mal. Beskriv også hvilke operativsystem som støttes utover dette. 3 Klientapplikasjonen / eventuelle applets og oppdateringer må kunne distribueres ved bruk av pakkeverktøy. Redegjør for eventuelle forutsetninger og begrensninger. 4 Applikasjonen skal ikke påvirke kjøring av annen 3.parts programvare på klienten. 5 Alle applikasjonsfeil skal rapporteres inn / logges i operativsystemets standard hendelses logg med en forståelig feilkode. 6 Applikasjonen skal kunne pakkes og streames ut til klient. Dette for blant annet å kunne kjøre flere versjoner i parallell. Dette for både applikasjonen som leveres og tilhørende 3.partskomponenter. 7 Klientapplikasjon skal kunne installeres på Citrix plattform basert på Microsoft Windows Server 2003 eller nyere i henhold til Sykehuspartner GPL.. Beskriv også hvilke operativsystem som støttes utover dette. 8 Applikasjonen med alle plugins skal kunne kjøres uten utvidede rettigheter på klienten. (Standard brukerrettigheter) 9 Applikasjonen må kunne til enhver tid kjøres med de siste patcher fra Microsoft. 10 Applikasjonen må kunne til enhver tid kjøres med de siste patcher fra de ledende arbeidsflateverktøy i markedet. 11 Klientprogramvaren må kunne kjøres på systemet med oppdatert antimalware av typen Trend Office Scan eller Microsoft Forefront Client Security i henhold til Sykehuspartner GPL. Der klientprogramvaren krever en antimalware policy eller exclude regelsett må dette redgjøres for Terminalservere Nr. Krav 1 Klientprogramvaren skal kunne kjøres på terminalserver basert på Windows server 2008 Citrix XenApp 5.0 og høyere i henhold til Sykehuspartner GPL. 2 Applikasjonen skal kunne pakkes og streames ut til terminalservere. Dette for blant annet å kunne kjøre flere versjoner i parallell. Dette for både applikasjonen som leveres og tilhørende 3.partskomponenter. 3 Klientprogramvaren må kunne kjøres på systemet med oppdatert antimalware av typen Trend Office Scan eller Microsoft Forefront Client Security i henhold til Sykehuspartner GPL. Der klientprogramvaren krever en antimalware policy eller exclude regelsett må dette redgjøres for. 4 Som overvåkningsverktøy vil det benyttes Microsoft System Center Operations Manager 2007 eller nyere i henhold til Sykehuspartner GPL. 5 Nødvendige printerdrivere som følger med løsningen må være Citrix sertifiserte. 6 Applikasjonen må kunne til enhver tid kjøres med de siste patcher fra Citrix 7 Applikasjonen med alle plugins skal kunne kjøres uten utvidede rettigheter. (Standard brukerrettigheter) VPN og fjerndriftsløsninger. Fjerndrift utføres via en sikker portalløsning hvor leverandøren vil logge inn med personlige brukerkontoer. Fra denne portalen vil det være mulig å logge inn på aktuelle servere via RDP eller Side 7 av 17 Versjon 1.0

8 Dato: Side:8 / 17 lignende teknologi. Leverandøren vil få delegert nødvendige rettigheter til å utføre sine drifts- /forvaltningsoppgaver til sine personlige brukerkontoer. Nr. Krav 1 F5 Firepass og F5 Big-IP løsning med SMS for 2 faktorautentifisering hvor AD passord ikke blir eksponert på klienten. Smartkort vil etter hvert kunne bli et krav. 2 SMS kode er personlig og brukeren av systemet må være personlig. Fellesbrukere er ikke tillatt. Brukeren/firmaet må gi en del opplysninger for å få tilgang til fjerndriftløsninger. Dette vil være mobiltelefon nummer og personalia inkludert person nummer. 3 For å få tilgang må bruker/firma akseptere gjeldende dokumenter som sluttbruker policy, taushetserklæring, databehandleravtalen osv. 4 Applikasjonen må kunne la seg publiseres og supporteres via F5 Firepass og F5 BigIp. Det må beskrives innstillinger som er nødvendig for å få dette til. 5 Løsningen støtter kun pålogging fra Windows operativsystem Generelle printløsninger Nr. Krav 1 Tjenesten må støtte sentrale Windows print tjenester. 2 Der det er behov for andre printere enn definert i Sykehuspartner GPL må dette spesifiseres i tilbudet. 3 Drivere skal ikke påvirke printsystemet 4 Drivere må være Citrix sertifiserte 5 Nødvendige printere og dens spesialfunksjoner som stift, hulling, brett osv må støttes av Unidrivere 6 Tjenesten må støtte Follow me print løsninger 7 Tjenesten må kunne kjøres på systemet med oppdatert antimalware av typen Trend Office Scan eller Microsoft Forefront Client Security i henhold til Sykehuspartner GPL. Der programvaren krever en antimalware policy eller exclude regelsett må dette redgjøres for. 8 Applikasjonen må kunne til enhver tid kjøres med de siste patcher fra Microsoft Kabling Område Parkabel spredenett (4 pars) Parkabel stamnett (multipar) Fiberkabel stamnett Krav Kategori 6A STP RJ-45 Kategori 3 krysskobling i grensesnittrom og 2 par pr RJ-45 Singelmodus (LC-kontakt) Integrasjon systemer /Utvikling Område Krav Kommunikasjonsprotokoll SOAP (http/https), MsMQ, TCP/IP, CIFS, FTP/SFTP, SMTP, Formater XML Semantikk HL7 v.3 og KITH standard, ebxml Kommunikasjon Web Services, SOA, UDDI (katalogtjeneste), ebxml Integrasjon Side 8 av 17 Versjon 1.0

9 Dato: Side:9 / 17 Utviklingsplattform klientprogramvare Utviklingsplattform Tjenerprogramvare Integrasjonsplattform Microsoft.NET Microsoft.NET Microsoft Biztalk 2 Sikkerhet 2.1 Generelt På vil det bli etablert en felles infrastruktur (kabling, nettverk, sikkerhet) som skal benyttes av alle IKT-systemer som skal installeres. For denne felles infrastrukturen er det planlagt et nivå for sikkerhet som definerer hvordan de enkelte IKT-systemer og utstyrsleveranser skal implementeres i infrastrukturen. I utgangspunktet vil det ikke bli tillatt at den enkelte entreprise/utstyrsleveranse etablerer egne generelle kablings og nettverksløsninger. Fysisk sikkerhet definerer hvilke sikringstiltak som skal etableres i de områder hvor IKTutstyr er fysisk plassert og IKT-Infrastruktur er etablert Nettverkssikkerhet definerer sikringstiltak som skal etableres på nettverksnivå (tilsvarer lag 1-3 i OSI-modellen) infrastrukturen Servere og sesjons sikkerhet definerer sikringstiltak som skal etableres i forbindelse med servere og lagring av data, og hvordan data overføres mellom ulike servere og mellom servere og brukere (dvs. lag 4-5 i OSI-modellen). Applikasjonssikkerhet definerer sikringstiltak knyttet til tilgang til applikasjoner og data som disse bruker. (dvs. lag 7 i OSImodellen) Videre ivaretar arkitekturen retningslinjer for: Administrasjon av tilgangskontroll til systemer, funksjoner og informasjon Administrasjon og overvåking av sikkerhetsfunksjonene som implementeres. I neste avsnitt er ulike krav innenfor disse områdene sammenfattet som den enkelte entreprise må forholde seg til. Det er skilt mellom: Generelle krav som gjelder alle løsninger som skal tilknyttes den felles IKT infrastrukturen Spesifikke krav for løsninger som håndterer foretakssensitive opplysninger og/eller tekniske styrings/overvåkingssystemer Spesifikke krav til løsninger og utstyr som håndterer personsensitive opplysninger iht. personopplysningsloven. (dvs. hvor i utstyret det lagres informasjonen) I forbindelse med IKT-systemer som håndterer sensitive personopplysninger, vil det for hver enkelt entreprise/utstyrsleveranse bli gjennomført en risiko og sårbarhetsanalyse i forhold til Informasjonssikkerhet for å vurdere forhold rundt konfidensialitet, integritet og tilgjengelighet. Side 9 av 17 Versjon 1.0

10 Dato: Side:10 / 17 Side 10 av 17 Versjon 1.0

11 Dato: Side:11 / Krav til informasjonssikkerhet Følgende lover med forskrifter gir føringer og krav til informasjonssikkerhet: Lov om helseregistre og behandling av helseopplysninger (Helseregisterloven) Lov om helsepersonell m.v. (Helsepersonelloven) Lov om behandling av personopplysninger (Personopplysningsloven) Område Generelt Foretakssensitive opplysninger og styrings-/overvåkingssystemer Fysisk sikkerhet I områder uten fysisk sikring (adgangskontroll, låsbare rom) skal alt utstyr som tilkoples nettet autentiseres før tilkopling til nettverket, alternativt vil utstyret bli å betrakte som tilknyttet i åpen sone. (Usikret sone) Utstyr som plasseres i kommunikasjonsrom vil bli plassert i låsbare skap adskilt pr. driftsområde. Tilgang til kommunikasjonsrom vil kunne Lov om behandling av personopplysninger Tilgang til utstyret og tilhørende nettverkspunkter skal fysisk sikres, dvs. beskyttes av adgangskontroll eller annen fysisk sikring (låsbare rom/skap) Utstyr skal autentiseres Sensitive personopplysninger (Lokal lagring på utstyrsenhet) Utstyret må fysisk sikres og autentiseres (ie. fysisk adgangskontroll for tilgang til utstyret eller plassering i låsbare rom/skap), og brukere må logge på med sterk autentisering Side 11 av 17 Versjon 1.0

12 Dato: Side:12 / 17 (Personopplysningsloven) gis i følge med autorisert personell, eller etter nærmere avtale med den enkelte entreprenør. Enkelte rom / områder / kabelgater etc vil kunne ha spesielle krav til sikring (brannsoner, brannslukking, branndeteksjon, ikke vannrør i tak, EMP-sikring, mv) Side 12 av 17 Versjon 1.0

13 Dato: Side:13 / 17 Område Generelt Foretakssensitive opplysninger og styrings- /overvåkingssystemer Nettverks-sikkerhet Etablering av ulike Servere plasseres i Interne tjeneste soner sikkerhetssegmenter innenfor Avhengig av brukerutstyrets egenskaper og sykehusområdet. funksjoner vil utstyret bli lokalisert til ulike interne Innenfor hver sone skilles det bruker soner mellom bruker soner Generelt brukerutstyr skal kunne benyttes mot (brukerutstyr/klientutstyr) og ulike tekniske anlegg og systemer tjeneste soner (Servere) Alt brukerutstyr som tilkoples skal autentiseres før bruk (802.1x). I trådløse nett etableres kun standardiserte sikkerhetsløsninger (802.1x) All tilgang til Internett skal skje via Sykehuspartner sin Internettløsning. Fjernaksess via Internett for leverandører tillates kun mot spesifikke logiske nett Definerte aktiviteter skal loggføres til en skrivebeskyttet logg Sensitive personopplysninger (Lokal lagring på utstyrsenhet) Stasjonært utstyr som lagrer sensitive personopplysninger må enten plasseres i sikre tjenestesoner eller lagringsenheten på enheten må krypteres i henhold til gitte krav Mobilt utstyr som lagrer sensitive personopplysninger skal lagringsenheten på enheten alltid krypteres i henhold til gitte krav Det må benyttes sterk autentisering i forbindelse med pålogging Dedikert utstyr tilkoples funksjonsorienterte logiske nett (sikre soner) For dedikert utstyr i Side 13 av 17 Versjon 1.0

14 Dato: Side:14 / 17 Område Generelt Foretakssensitive opplysninger og styrings-/overvåkingssystemer Klient, server og Utstyr med virksomhetskritisk Fjerndrift skal være mulig sesjons-sikkerhet funksjonalitet skal ha redundant Tilgang iht. brukeravtale med tilknytning til Leverandør/Entreprenør nettverket/infrastrukturen Alle standard PC er/brukerutstyr skal konfigureres sentralt, og konfigurasjon skal overvåkes sentralt. PC er/brukerutstyr hvor konfigurasjon er endret uautorisert skal automatisk retankes Det skal ikke være mulig for lokal bruker å legge inn ny programvare som ikke er forhåndsgodkjent Kryptering skal baseres på internasjonale standarder Kontroll av ondsinnet programvare skal gjennomføres på alt generelt brukerutstyr før pålogging til nettverket Sensitive personopplysninger (Lokal lagring på utstyrsenhet) Kun eksplisitt definert trafikk vil bli tillatt mellom ulike tjenestesoner og til/fra systemer i sikre tjenestesoner Det skal være mulig å sletteinformasjon på utstyrsenhet som kan lagre sensitive personopplysninger Fjerndrift tillates kun med bruk av sterk autentisering mot spesielle logiske nett (ie. utstyrsenhet må fysisk flyttes/koples til et servicenett ) Alle funksjoner og tjenester som ikke er i bruk på en server/klient skal være avslått/fjernet. Dette gjelder både OS funksjoner og basisapplikasjoner. Bruker/klientutstyr hvor konfigurasjon er endret vil ikke få tilgang til nettet før konfigurasjon er oppdatert Side 14 av 17 Versjon 1.0

15 Dato: Side:15 / 17 Applikasjonssikkerhet Administrasjon av tilgangskontroll Definerte aktiviteter skal loggføres til en skrivebeskyttet logg Definerte aktiviteter skal loggføres til en skrivebeskyttet logg Opprettelse, endring og sletting av brukere i tilknytning til en applikasjon skal loggføres Tilgang til funksjoner i en applikasjon skal kunne være rollebasert Definerte aktiviteter skal loggføres til en skrivebeskyttet logg Pålogging kan tillates fra navngitte brukere (brukerid/passord) I forbindelse med fjerndrift skal leverandørens bruker logges på med brukerid/passord, alt. Benytte sterk autentisering. Pålogging skal kun tillates fra navngitte brukere med bruk av sterk autentisering (token) Tilgangskontroll skal integreres med katralogtjenesten Side 15 av 17 Versjon 1.0

16 Dato: Side:16 / 17 Side 16 av 17 Versjon 1.0

17 Dato: Side:17 / 17 VEDLEGG Vedlegg A Sykehuspartner gjeldende produktliste (GPL) Side 17 av 17 Versjon 1.0