Virksomheten skal ha konfigurasjonskontroll med alt eget utstyr og programvare som utgjør del av fjernaksessløsningen, i tråd med kravene i Normen kapittel 5.4.1 Konfigurasjonskontroll. Med konfigurasjonskontroll menes styring av konfigurasjonen, og ikke det å foreta kontroller i betydningen revisjon.
I forbindelse med fjernaksess kan leverandøren utøve oppgaver som databehandler eller vedlikeholde og oppdatere løsninger gjennom fjernadministrasjon. Ved fjernaksess mellom virksomhet og leverandør er leverandøren å anse som databehandler. Avhengig av tjenestene som ytes, skal disse reguleres gjennom avtale.
Forutsetninger for konfigurasjonskontroll
Virksomheten skal etablere og ivareta konfigurasjonskontroll (iht. Normens krav) på egen IKT-infrastruktur og utstyr som utgjør del av fjernaksessløsningen og driftes internt (on-site) hos virksomheten. Samtidig skal virksomheten gjennom avtalefestede vilkår sikre at leverandøren etterlever krav til konfigurasjonskontroll av infrastruktur og utstyr som driftes eller håndteres (som del av fjernaksessløsningen) hos leverandøren.
Virksomheten kan også, etter avtale, selv ivareta konfigurasjonskontroll av fjernaksessløsningen som driftes eller håndteres hos leverandøren, men det avhenger av løsningen og tjenestene som ytes. I tillegg bør virksomheten sørge for at det tas inn avtalevilkår som gir rett til sikkerhetsrevisjon av leverandørens utøvelse av konfigurasjonskontroll.
Krav til konfigurasjonskontroll i teknisk løsning
For å etablere konfigurasjonskontroll for fjernaksessløsningen, anbefales det å benytte grunnprinsipp 2.3 Ivareta en sikker konfigurasjon (nsm.no) for å etterleve kravene.
Følgende krav i Normen er ikke dekket av grunnprinsipp 2.3 Ivareta en sikker konfigurasjon:
- Virksomheten skal sørge for at all dataflyt, datakommunikasjon og integrasjoner kartlegges og dokumenteres.
- Kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger. Virksomheten skal fastsette hvem som har godkjenningsmyndighet.
- Det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp, ikke blir påvirket ved feil i utvikling og test.
Overnevnte krav som ikke dekkes av grunnprinsipp 2.3, kan oppfylles med følgende tiltak:
• 1.1.6: Kartlegg informasjonsbehandling og dataflyt i virksomheten (nsm.no)
• 1.2.2: Fastsett retningslinjer for godkjente enheter og programvare i virksomheten (nsm.no)
• 2.1.6: Benytt separate miljøer for utvikling, test og produksjon (nsm.no)
Krav til konfigurasjonskontroll ved konfigurasjonsendringer
Konfigurasjonsendringer skal håndteres strukturert før endringene driftsettes. Håndtering av konfigurasjonsendringer, dokumentering og involvering av personell anbefales oppfylt med grunnprinsipp 2.10 Integrer sikkerhet i prosess for endringshåndtering.
Det vises igjen til tiltak 2.1.6 for å etablere en implementasjon som sikrer mot uforutsette hendelser. Tiltak 2.10 .1 d) og 2.10.2 skrives generelt, men kan oppfylle følgende spesifikke krav i Normen:
- Risikovurdering som viser at nivå for akseptabel risiko oppfylles
- Ny konfigurasjon er dokumentert
- Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger
Ved etablering av tiltak i grunnprinsipp 2.10 skal virksomheten påse at det etableres rutiner for endringsstyring iht. Normen, som er tilpasset aktuell fjernaksess og fjernaksessløsning.
Fjernaksess skal kun gjøres over sikre kanaler, i tråd med kravene i Normen kapittel 5.4.1 siste ledd. Dette kan oppfylles ved å følge grunnprinsipp 2.3, som blant annet omfatter tiltaket "Utfør all konfigurasjon, installasjon og drift på en trygg måte".
Virksomheten skal i tillegg sørge for at styring og håndtering av tekniske sårbarheter etableres og følges opp i fjernaksessløsningen, i tråd med kravene i Normen kapittel 5.4.5.
Dette inkluderer rutiner og operative tiltak for håndtering av IKT-utstyr og programvare som del av løsningen. Kravet kan oppfylles ved å følge grunnprinsipp 1.2, som omfatter tiltak som "Kartlegg enheter i bruk i virksomheten" og "Kartlegg programvare i bruk i virksomheten".
