Utgitt med støtte av: Nrm fr infrmasjnssikkerhet www.nrmen.n Sikkerhets- g samhandlingsarkitektur ved intern samhandling Støttedkument Faktaark nr 20b Versjn: 3.0 Dat: 14.10.2015 Frmål Virksmheten skal ha en sikkerhetsarkitektur sm tilrettelegger samhandling på en trygg måte. Ansvar Gjennmføring Omfang Målgruppe Dette faktaarket er spesielt relevant fr: Gi retningslinjer fr etablering av: Standardisering av virksmhetens sikkerhetsfunksjner ved intern samhandling Sikkerhet ved samhandling i frmaliserte arbeidsfellesskap IKT-ansvarlig skal etablere en tilfredsstillende sikkerhets- g samhandlingsarkitektur Benyttes ved innføring av nye IKT-systemer eller endringer i eksisterende systemer Alle tekniske løsninger sm benyttes til behandling av helse- g persnpplysninger Virksmhetens leder/ledelse Ansatt / medarbeider IKT-ansvarlig Frskningsansvarlig Frsker Databehandler Prsjektleder frskning Persnvernmbud Leverandør Sikkerhetsleder Hjemmel Pasientjurnallven 23 Persnpplysningsfrskriften 2-7 Referanser Veileder fr tilknytning til helsenettet (kmmer) Faktaark 46 - Databehandlingsansvar g avtaler i frbindelse med tjenesteutsetting 1. Knfigurasjnsstyring Følgende krav skal ivaretas ved etablering av intern samhandling: - Virksmheten skal ha versikt ver g kntrll på alt utstyr g prgramvare sm benyttes i behandlingen av helse- g persnpplysninger. Dette gjelder gså utstyr ved hjemmekntr g mbilt utstyr - Knfigurasjnen skal sikre at utstyret g prgramvaren kun utfører de funksjner sm er frmålsbestemt - Knfigurasjnsendringer, dvs. endringer i utstyr g/eller prgramvare, skal ikke settes i drift før følgende tiltak er gjennmført: Risikvurdering sm viser at nivå fr akseptabel risik ppfylles Test sm sikrer at frventede funksjner er ivaretatt Implementering sm sikrer mt ufrutsette hendelser Ny knfigurasjn er dkumentert Virksmhetens leder eller den ledelsen bemyndiger har gdkjent endringen 2. Sikkerhetsarkitektur fr en tjeneste Tabellen nedenfr illustrerer hvrdan sikkerhetsarkitekturen kan beskrives i en lagdelt mdell fr hver enkelt tjeneste. Denne bør benyttes fr å illustrere hvrdan ulike tjenester g applikasjner er bygd pp med tilhørende sikkerhetsmekanismer. Tabellen kan benyttes på tjenester innen egen virksmhet g fr tilgang til tjenester levert gjennm Nrsk Helsenett. Lag Presentasjn (klient/arbeidsstasjn) Eksempler på sikkerhetsmekanismer Nettverksautentisering Kryptering Nettverkskntrll Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 1 av 6
Lag Applikasjn/ frretningslgikk Infrmasjnsressurser (database) Eksempler på sikkerhetsmekanismer autentisering Terminalløsninger Hendelsesregistrering i applikasjnen Applikasjnsautentisering (fr eksempel ) g tilgangsstyring Validering av felt g data Transaksjnslgg g systemlgg Låsemekanismer (read-nly) Tilgangsstyring til databasen Integritetskntrll Fysiske kmpnenter Redundans i teknlgi Fysisk sikring Eksempel: Figuren nedenfr illustrerer sikkerhetsarkitekturen fr en -løsning. Presentasjnslaget viser frem den aktuelle infrmasjnen ved hjelp av en webklient (nettleser) eller en egen -klient. en kmmuniserer med en applikasjn (). Det er gså mulig å benytte en terminalserverløsning (TS), sm i realiteten betyr at all databehandling skjer i applikasjnslaget. Kmmunikasjnen mellm presentasjn g applikasjn kan m nødvendig krypteres. I datanettverket kan det være sikkerhetsbarrierer. Selve applikasjnen () kmmuniserer med databasen (DB) sm hlder kntrll på alle dataelementene sm er lagret i et fysisk lager. Det fysiske lageret kan være frdelt på ulike lagringssystemer eller servere. Presentasjn Applikasjn Infrmasjnsressurser Fysisk lager Webklient TS klient DB Barriere Barriere 3. Sneinndeling på lkalt nett Sneinndeling benyttes fr å skille ulike data i frskjellige lgiske eller fysiske sikkerhetssner. Hensikten med sneinndeling er å sikre at tilgang til de ulike sikkerhetssnene på en hensiktsmessig måte kan styres ut i fra hvem sm skal ha tilgang til dem g fra hvr. Sneinndeling vil i tillegg kunne hindre at sårbarheter utnyttes på tvers av systemer g sner. Det finnes en rekke sikkerhetsbarrierer sm kan benyttes fr å dele et nettverk eller en tjeneste pp i flere sner. Brannmurer er en mye brukt løsning fr nettverk, men det er ingen føringer på hvilken teknlgi sm benyttes så lenge frmålet m tilgangsstyring er ppfylt. Fr å vite at nødvendige tiltak er etablert skal det gjøres en risikvurdering. Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 2 av 6
Eksempel på sneinndeling sm følger Datatilsynets anbefaling: Sne Sikker sne Intern sne DMZ Beskrivelse Snen mtales gså sm lukket sne eller sensitiv sne. Her skal tjenester sm innehlder helse- g persnpplysninger plasseres. Flere mindre virksmheter pererer kun med sikker sne når de er tilknyttet helsenettet. Tilgangen inn mt sikker sne skal sikres med tanke på å hindre uautrisert tilgang. Ved lagdeling i en applikasjn (Se kapittel 1) kan Sikker sne deles ytterligere fr å sikre Applikasjn g Infrmasjnsressurser ytterligere. Presentasjn plasseres da nrmalt i DMZ. Snen mtales gså sm åpen sne. er g utstyr sm ikke innehlder (lagrer lkalt) helse g persnpplysninger. Utstyr sm står i intern sne har gjennm sikkerhetsløsninger tilgang til andre sner sm f eks Snen(e) benyttes fr å terminere trafikk inn eller ut mt andre sner sm trenger sikring. Eksempler Nedenfr følger 2 eksempler på vanlig bruk av sner. (Se gså "Veileder fr tilknytning til helsenettet", kmmer). I de fleste eksemplene er kunderuter fra Nrsk Helsenett benyttet sm indre brannmur, men kunden kan fritt sette pp dedikert brannmur i tillegg til kunderuteren. Sneinndeling på nettverksnivå, med bruk av flere sner Terminalserver Intern brannmur E-pst Ekstern brannmur Linjeleverandør Eksternt nett - Oppsett med t brannmurer sm sikrer trafikk mellm snene - DMZ-sner tilknyttet både ekstern g intern brannmur fr terminering av trafikk inn mt eller ut fra henhldsvis sikker sne () g åpen sne (E-pst) - er har tilgang til sikker sne via terminalserver Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 3 av 6
Bruk av virtualisering fr å dele pp i ulike lgiske sner Sne 1 Sne 2 Sne 3 Virtualiseringslag Fysisk hst fr kjøring av virtuelle maskiner Ekstern brannmur Eksternt nett - Virtualiseringsteknlgi benyttes fr å lage lgiske skiller mellm de ulike snene sm etableres på samme fysiske infrastruktur - Sikkerheten i virtualiseringslaget vil kunne tilby tilstrekkelig sikkerhetsbarriere - Virtualisering kan gjøres både på server g nettverk i en slik løsning Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 4 av 6
4. Samarbeid mellm virksmheter m behandlingsrettede helseregistre Se Faktaark 46 - Databehandlingsansvar g avtaler i frbindelse med tjenesteutsetting g veilederen Samarbeid mellm virksmheter m felles jurnal, En veileder med avtale eksempler" på www.nrmen.n. Felles jurnalsystem følger de samme tekniske krav til sikkerhet sm m nettverk g server hadde vært dedikert til kun en juridisk enhet. Figuren nedenfr illustrerer bruk av felles sikker sne i virksmheter sm samarbeider m behandlingsrettede helseregister (gruppepraksis med t leger): Lege 1 Felles Lege 2 Ruter/brannmur fra NHN Linjeleverandør Helsenett - Oppsett med en felles sikker sne - Oppsett med kun en intern brannmur sm sikrer Felles sikker sne - er g server i samme nett - Frutsetter eksterne sikringsløsninger fr tilgang til f. eks. Internett eller tilgang inn mt sikker sne fra eksterne nett 5. Delt lkalnett mellm ulike juridiske enheter Så lenge virksmhetene har tiltak mt uautrisert tilgang til helse- g persnpplysninger kan t ulike juridiske enheter dele lkalnett. Data fra de ulike virksmhetene skal hldes lgisk adskilt, ne sm frutsetter sikring på server/applikasjnsnivå. Ved felles lkalnett frutsettes det at enhetene er underlagt et felles infrmasjnssikkerhetsregime g samrdnet drift på felleskmpnentene. Nen anbefalte sikringsmekanismer fr å sikre data: - Gde prsedyrer g avtaler - Passrdbeskyttelse på servere/fagsystem - Lkal brannmur på server - Bruk av sertifikater på klient/serverkmmunikasjn Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 5 av 6
Eksempel på t juridiske enheter i felles lkalnett Virksmhet A Virksmhet A Virksmhet B Virksmhet B Ruter/brannmur fra NHN Linjeleverandør Helsenett - Virksmheten deler fysisk nett g har felles sikker sne - Tilgangsstyring inn mt jurnalsystemet hindrer uautrisert tilgang mellm virksmhetene - Oppsett med kun en intern brannmur sm sikrer Sikker sne - er g server i samme nett - Frutsetter eksterne sikringsløsninger fr tilgang til f. eks. internett eller tilgang inn mt sikker sne fra eksterne nett 6. Sammenkbling av virksmhetens gegrafisk adskilte enheter Ved sammenkbling av gegrafisk adskilte enheter frutsettes det at enhetene er underlagt et felles infrmasjnssikkerhetsregime. Når enhetene er sammenkblet vil de fungere sm et felles datanettverk. Sammenkblingen stiller således ikke ytterligere krav til sikkerhet på klientsystemene. Det stilles krav m: Kryptert datakmmunikasjn ver åpne nett Bruk av PKI-sertifikat g kryptering av samband skal være i samsvar med Kravspesifikasjn fr PKI i ffentlig sektr (se www.difi.n) Faktaark 20b - Sikkerhets- g samhandlingsarkitektur ved intern samhandling Side 6 av 6