Risikovurdering før fjernaksess etableres
Valg av løsning og tjenester for fjernaksess skal risikovurderes og dokumenteres, i tråd med Normen 6.1 kapittel 3.4. Risikovurderingen skal inkludere alle sikkerhetstiltak, jf. Normen 6.1 kapittel 5 første ledd, som påvirker risiko i informasjonssystemer ved fjernaksess. Dette innebærer å vurdere sikkerhetstiltak som delelementer i en helhet, inkludert tiltak som tilgangsstyring (omtalt i veilederens kapittel 4), kommunikasjonssikkerhet (kapittel 5), og sikker IT-drift (kapittel 6).
Risikovurderingen skal gjennomføres før leverandøren får tilgang til fjernaksess og må ta utgangspunkt i virksomhetens fastsatte nivå for akseptabel risiko. Risikofaktorer og relevante scenarioer varierer avhengig av løsningen og danner grunnlaget for å vurdere om løsningen oppfyller sikkerhetsmessige krav, eller om det er behov for ytterligere tiltak, som økt logging og analyse av logger.
Eksempler på risikofaktorer ved fjernaksess inkluderer ivaretakelse av tjenstlig behov, kontroll med tilganger, hvilke tjenester som tillates, og kapasiteten til løsningen for å begrense uønskede handlinger som filflytting, «klipp og lim» av tekst, skjermbilder eller annen kopiering av innhold. Andre relevante faktorer er om fjernaksessløsningen og tilknyttede systemer og infrastruktur er sikkerhetsoppdaterte, samt kapasitet og evne til logging og analyse av logger.
Det er viktig at risiko- og systemeiere for informasjonssystemer og infrastruktur som påvirkes av fjernaksess, blir involvert i arbeidet med risikovurderinger og identifisering av aktuelle tiltak. Andre relevante interessenter bør også vurderes i det enkelte tilfelle. Involvering av disse aktørene er avgjørende for å sikre at integrasjon med informasjonssystemer skjer uten å skape funksjonelle utfordringer, at fastsatt nivå for akseptabel risiko ivaretas, og at interessenter kan oppfylle kravene til sikring av sine verdier.
Verdiene omfatter ikke bare helse- og personopplysninger, men også systemer og tjenester som kan være kritiske for liv og helse. Helhetlig sikring av informasjonssystemer, inkludert fjernaksessløsninger, er nødvendig for å beskytte disse verdiene. Dersom det oppstår behov for tiltak for å håndtere risiko i tråd med fastsatt nivå for akseptabel risiko, skal disse tiltakene gjennomføres.
Risikovurdering i drift av fjernaksessløsning
Normen fastsetter at risikovurderinger bør oppdateres i henhold til det aktuelle trusselbildet. I tillegg skal virksomhetens ledelse jevnlig gjennomføre risikovurderinger som en del av arbeidet med å kontrollere informasjonssikkerheten, slik det fremgår av Normen 6.1 kapittel 3.4.
Dette innebærer at ved endringer i, eller avdekking av (nye) sårbarheter i fjernaksessløsningen, bør risikoen og nødvendige tiltak revurderes for å sikre at informasjonssikkerheten opprettholdes.
