Tengingar heilsugæslustöðva við ytri net


1. Formáli
Þetta skjal er leiðarvísir um upplýsingaöryggi fyrir heilbrigðisstofnanir sem vilja tengja sitt innra tölvukerfi við ytri gagnanet. Höfð hefur verið hliðsjón af norskum leiðarvísi um sama efni.

Skjalið miðast fyrst og fremst við tengingar heilsugæslustöðva við ytri net en getur einnig átt við aðrar stofnanir í heilbrigðiskerfinu. Forsendan er sú að þegar aðilar í heilbrigðiskerfinu tengjast ytri gagnanetum séu lágmarkskröfur Landlæknis þar að lútandi uppfylltar.

Tilgangur ytri tenginga heilsugæslustöðva er einkum tvíþættur. Í fyrsta lagi að tengja saman starfsstöðvar einstakra heilsugæslustöðva, t.d. útibú stöðvanna við heilsugæslustöðina sjálfa. Í öðru lagi að auka rekstaröryggi tölvu- og upplýsingakerfa með fjarþjónustu.

2. Ábyrgð
Stjórn heilbrigðisstofnunar ber ábyrgð á að öryggi sjúkragagna sé tryggt. Sú ábyrgð felur í sér að tryggja þarf á fullnægjandi hátt öryggi þess hluta upplýsingakerfis stofnunarinnar sem tengist ytri gagnanetum. Til þess þarf:

  • Skipulag með skýra ábyrgð og stjórn á tengingum við ytri gagnanet.
  • Nauðsynlegar öryggisráðstafanir.
  • Góð samskipti notenda, stjórnar og samstarfsaðila sem útfæra rekstur og öryggi upplýsingakerfis.
  • Fullnægjandi lausnir í upplýsinga- og samskiptamálum stofnunar bæði hvað varðar kerfisstjórn og heilbrigðisfaglegar kröfur.

3. Öryggisstefna

  • Tenging við ytra net skal miðast við þarfir vegna starfsemi heilbrigðisstofnunar. Hún skal vera háð samþykki yfirstjórnar stofnunar.
  • Fyrst og fremst skal nota viðurkenndar og prófaðar lausnir. Mikillar varkárni skal gætt ef taka þarf upp nýjar lausnir.
  • Þær hættur sem fylgja tengingu við ytri net eru breytilegar og þekking á þeim aldrei tæmandi. Henni þarf að viðhalda.
  • Notendur skulu fá nauðsynlega kennslu og leiðsögn varðandi gagnaöryggi og notkun ytri tenginga.

Mikilvægustu forsendur fyrir öryggismarkmiðum eru eftirfarandi:

  • Að hindra óheimilan aðgang frá ytra gagnaneti að innra upplýsingakerfi.
  • Að hindra að sjúkragögnum eða öðrum viðkvæmum upplýsingum sé óvart dreift til ytra netsins.
  • Að hindra innkomu forrita frá ytra neti sem skemmt geta innra upplýsingakerfið.
  • Lýsingin á öryggismarkmiðum skal miðast við þessi atriði en hæfa hverjum vinnustað að öðru leyti.

4. Áhættugreining og innra eftirlit
Áður en heilbrigðisstofnun er tengd ytra neti skal gera áhættugreiningu.
Þær hættur sem fylgja tengingu við ytri net skulu lagðar til grundvallar áhættugreiningu. Fara skal fram mat á öryggisráðstöfunum og hugsanlegum samstarfsaðilum eða verktökum við ytri tengingu. Breytist forsendur áhættugreiningar skal hún endurskoðuð.

Innra eftirlit skal fela í sér mat á því að:

  • raunverulegt skipulag og samband ábyrgðar og stjórnunar sé í samræmi við samþykkt skipulag.
  • raunveruleg notkun, rekstur og viðhald ytri tengingar sé í samræmi við samþykkt vinnuferli.
  • notendum sé kennt og leiðbeint.
  • samþykktar öryggisráðstafanir séu virkar.
  • raunveruleg notkun sé í samræmi við samþykktar forsendur ytri tengingar hvað varðar þær lausnir sem í boði eru.

Innra eftirlit skal einnig fela í sér prófun á miðlægum hlutum öryggiskerfisins svo sem eldvegg, þar með talið prófun á næmi og viðbrögðum gagnvart þekktum árásaraðferðum.
Til grundvallar innra eftirliti skulu lögð stjórnunarskjöl, vinnuferli og reglur sem fjalla um vinnu við ytri tengingar.


5. Tæknileg útfærsla tenginga heilsugæslustöðva við ytri net
Við útfærslu skal fylgt eftirfarandi grundvallarreglum:

  1. Þjónustur sem eru ekki sérstaklega leyfðar eru bannaðar.
  2. Eldveggur skal skýla vélbúnaði, hugbúnaði og gögnum á innra neti gagnvart því ytra.
  3. Öll gagnasamskipti milli upplýsingakerfis heilbrigðisstofnunar og ytra netsins skal hefja á innra netinu en ekki á því ytra. Eina undantekning frá þessu er móttaka á tölvupósti.

Gert er ráð fyrir því að heilsugæslustöðvar fjárfesti í víðnetstengibúnaði sem tengist ISDN kerfi Landssímans. Notaðir verði öryggisþættir búnaðarins, s.s. innhringilistar (tæki svarar einungis ákveðnum númerum), endurhringingar (hringt er til baka til þess sem hringir inn), lykilorð verði notuð til að stýra búnaðinum, leyfa aðkomu að honum og til að ná sambandi.


Eldvegg skal útfæra með:

  1. Kerfisstýringu sem stýrir gagnaflæði milli ytra netsins og mismunandi svæða á innra neti heilbrigðisstofnunar, þar með talið hvaða samskiptastaðla og notkunarforrit má nota á hverju svæði. Þetta er m.a. gert þannig að umferð er aðeins hleypt í gegnum ákveðin hlið (e. ports) og umferð á borð við FTP og TELNET ekki leyfð.
  2. Notkunarstýringu sem býður upp á stýringu og takmörkun á notkun með það fyrir augum að:
    • Sannreyna að þjónusta sem verið er að nota á ytra netinu sé leyfð.
    • Hindra að leyfð þjónusta sé nýtt til að setja af stað notkun sem er ekki leyfð.
    • Stýra og takmarka starfssemi þjónustunnar eftir þörfum, t.d. með URL-síun og stýringu á tölvupóstföngum.
    • Sía út flókna gagnahluti, t.d. ActiveX forrit, Java beitur og tölvuveirur.
    • Sannreyna auðkenni og heimildir notenda áður en þjónustan hefst.
    • Gera kerfisstjóra viðvart um leið og vart verður innbrotatilrauna með tölvupósti eða SMS símaboðum.


Beinir
ISDN beinar hafi eftirfarandi öryggisþætti:

  • Pakkasíun
  • Lykilorð fyrir innhringingu með brengluðum lykilorðum
  • Lykilorð fyrir stjórnanda
  • Hægt verði með tímatakmörkunum að stjórna hvenær beinir svarar, jafnvel ákveðnum númerum.
  • Lista yfir þau númer sem heimilt er að svara.

ISDN hringingar
Gert er ráð fyrir að aðeins fyrirfram skilgreindum númerum verði heimilt að hringja í beini og notendahópur sé lokaður. Ætíð verði notaðar endurhringingar. Aðeins sé kveikt á búnaði þegar hann er í notkun af þjónustuaðila en slökkt þess á milli. Þetta skal framkvæmt með óyggjandi hætti, t.d. með því að slökkva á mótaldi eða taka það úr sambandi.

Internet-tengingar
Ekki er heimilt að veita aðgang að Interneti fyrr en búið er að ganga tryggilega frá uppsetningu eldveggs (sjá lýsingu hér að ofan) sem og veiruvörnum. Auk þess gerir Landlæknir þá kröfu að ekki skuli samtímis leyft að hafa aðgang að sjúkragögnum í tölvukerfi og tengjast Interneti. Þetta má t.d. framkvæma þannig að notandi með aðgang að sjúkragögnum í rafrænni sjúkraskrá aftengi sig og verði nýr notandi með aðgang að Interneti og hafi sem slíkur engan aðgang að sjúkraupplýsingum.

Um fjarþjónustu
Þjónusta má tölvukerfi heilbrigðisstofnunar með fjartengingu ef notuð er bein og örugg tenging. Slík fjarþjónusta er háð leyfi tölvunefndar og samþykki þess læknis sem ber ábyrgð á sjúkragögnum stofnunarinnar.
Með fjarþjónustu má auka rekstraröryggi sjúkraskrárkerfa og veita bráðaþjónustu þar sem vélbúnaður eða hugbúnaður hefur stöðvast og endurræsa þarf stýrikerfi, notendahugbúnað eða vélbúnað.
Fjarþjónustu má m.a. nota til breytinga og lagfæringa á hugbúnaði og gagnaskrám sem eru hluti hugbúnaðar.

Um tengingar vegna fjarþjónustu gildir að:

  1. Öll fjarþjónusta skal í hverju einstöku tilviki unnin skv. beiðni og á ábyrgð yfirlæknis eða aðila sem hann tilnefnir.
  2. Aðgangi til fjarþjónustu skal stjórnað með því að yfirlæknir eða aðili sem hann tilnefnir kveiki á mótaldi eða beini og ræsi hugbúnað til fjarþjónustu.
  3. Fjarþjónustuaðili hringir inn í netþjón stöðvar eftir handvirka ræsingu á mótaldi. Netþjónn rýfur sambandið og hringir til baka í símanúmer þjónustuaðila til þess að tengjast fjarþjónustu.
  4. Til þess að tengjast netþjóni stöðvar þarf fjarþjónustuaðili notendanöfn og aðgangsorð. Um þau gilda reglur landlæknis.
  5. Öll fjarþjónusta skal framkvæmd undir eftirliti yfirlæknis eða þess sem hann tilnefnir. Allar aðgerðir skulu vera sýnilegar á tölvuskjá viðkomandi stöðvar fyrir þann sem eftirlit hefur með þjónustunni. Allar aðgerðir skulu sjálfkrafa færðar í "log"-skrá.
  6. Fjarþjónustuaðili skal ekki hafa aðgang að sjúkragögnum.
  7. Að lokinni fjarvinnslu skulu starfsmenn heilsugæslustöðvar stöðva fjarvinnsluhugbúnað og slökkva á mótaldinu eða beini. Starfsmenn heilsugæslustöðvar bera ábyrgð á að samband sé rofið að lokinni fjarvinnslu.
Umsjónaraðili fjarþjónustu á heilsugæslustöð skal úthluta réttindum til þjónustuaðila í þeim fjarþjónustuhugbúnaði sem notaður er. Með þeim hugbúnaði sem notaður er skal vera mögulegt að:
  • Banna að skrár séu sóttar.
  • Banna að skrár séu sendar.
  • Takmarka tengitíma sem leyfður er í einni lotu.
  • Takmarka tengitíma við aðeins eina lotu.
  • Skilgreina "log" skrá yfir aðgerðir þess sem hringir inn.
  • Skilgreina mismunandi réttindi mismunandi notenda. Úthluta notendum aðgangi / aðgangsheimildum.
  • Skilgreina að starfsmenn heilsugæslustöðvar verði að samþykkja tengingu þó fjarþjónustuhugbúnaðurinn sé í gangi.
  • Takmarka aðgang að diskum og netkerfi.
  • Verja notendaskilgreiningar með lykilorði.
  • Skilgreina dulkóðunarlykil fyrir samskipti við innhringiaðila.

(Samantekt Stiki ehf. o. fl. fyrir Landlæknisembættið - ábyrgðarmaður Matthías Halldórsson, aðstoðarlandlæknir)

Þessar upplýsingar voru fyrst settar á vef Landlæknisembættisins í apríl 2000.

Uppfært 27. nóvember 2008


Aukaval

Leturstærðir

Leit

Leitarvél
Byggir á LiSA vefumsjónarkerfi frá Eskli