Eksempler på godkjennbare løsninger for fjernaksess:
1) Teknisk løsning levert av Tredjepart (kapittel 8.1)
2) Site-to-site VPN-løsning, via Norsk helsenett eller internett (kapittel 8.2)
3) VPN-løsning med klient levert av virksomheten (kapittel 8.3)
4) Teknisk løsning med kontrollsone hos virksomheten, ved f.eks. VDI eller TS (kapittel 8.4)
5) Teknisk løsning levert som skytjeneste
Dette kapitlet gir eksempler på et utvalg tekniske løsninger som er ment å oppfylle krav i Normen. Eksemplene viser løsninger der leverandøren kobler seg opp til virksomheten, ved at leverandøren selv initierer oppkoblingen med fjernaksess. Løsning for automatisk kontakt beskrives ikke i eksemplene, men bør betraktes som ethvert informasjonssystem i virksomheten som har forbindelser til eksterne nett.
Andre eksempel viser Site-to-site VPN-løsning, via Norsk helsenett eller Internett.
Figurene 5 og 6 illustrerer at:
• Kommunikasjon mellom virksomheten og leverandøren skjer på en IPsec-sikret VPN
forbindelse.
• Kommunikasjonen kan gå enten via Norsk Helsenett eller via Internett.
• Autentisering av medarbeider skjer med sikkerhetsnivå høyt hos leverandøren. F.eks.
PKI pålogging.
Eksempel på bruk:
1. Kunde melder feil på et system til en leverandør
Medarbeider hos leverandør logger på systemet via leverandørens fjerndiagnosesystem.
Denne påloggingen gir en begrenset tilgang til systemet. Ved hjelp av verktøy på
systemet kan Medarbeider så analysere feillogger. Etter noe analyse avdekkes at det må
utføres en jobb på systemet.
Kunde åpner så opp for utvidet tilgang slik at medarbeider kan utføre de nødvendige oppgavene. Dette kan være endring i konfigurasjonen, opplasting av programvarepatcher eller nedlasting av spesielle filer. Etter endt service settes systemet tilbake til begrenset tilgang og medarbeider logger seg av. Veileder for fjernaksess mellom virksomhet og leverandør
2. System hos kunde trenger oppdatering av programvare
Leverandøren har en oppdatering til programvaren på kundens system. Dette kan være en antiviruspatch, en Windows hotfix eller en annen bugfix til systemet. Leverandørens fjerndiagnosesystem sender oppdateringen til kundens system. Kunden får opp melding på systemet at det er en oppdatering tilgjengelig og må aktivt velge om denne skal installeres eller ikke. Etter installasjon melder kunden systemet automatisk tilbake til leverandørens fjerndiagnosesystem at oppdateringen er utført.
3. Proaktiv overvåking av viktige parametere
Kundens system sender jevnlig rapporter til leverandørens fjerndiagnosesystem med informasjon om tilstanden på systemet. Disse rapportene kan inneholde data om temperatur, trykk, nivå, fyllingsgrad i databaser, feilmeldinger som oppstår etc.
Tabellen nedenfor viser hvem som ivaretar sikkerhetsoppgavene i dette eksempelet. I de tilfellene hvor både virksomhet og leverandør er angitt så vil oppgavefordelingen avhenge av hvilke varianter av løsninger som tas i bruk.
