2.3. Soneinndeling på lokalt nett

Soneinndeling benyttes for å skille ulike data i forskjellige logiske eller fysiske sikkerhetssoner. Hensikten med soneinndeling er å sikre at tilgang til de ulike sikkerhetssonene på en hensiktsmessig måte kan styres ut i fra hvem som skal ha tilgang til dem og fra hvor. Soneinndeling vil i tillegg kunne hindre at sårbarheter utnyttes på tvers av systemer og soner.

Det finnes en rekke sikkerhetsbarrierer som kan benyttes for å dele et nettverk eller en tjeneste opp i flere soner. Brannmurer er en mye brukt løsning for nettverk, men det er ingen føringer på hvilken teknologi som benyttes så lenge formålet om tilgangsstyring er oppfylt. For å vite at nødvendige tiltak er etablert skal det gjøres en risikovurdering.

Sone	Beskrivelse
Sikker sone	Sonen omtales også som lukket sone eller sensitiv sone. Her skal tjenester som inneholder helse- og personopplysninger plasseres. Flere mindre virksomheter opererer kun med sikker sone når de er tilknyttet helsenettet. Tilgangen inn mot sikker sone skal sikres med tanke på å hindre uautorisert tilgang. Ved lagdeling i en applikasjon (se kapittel 1) kan sikker sone deles ytterligere for å sikre applikasjon og informasjonsressurser ytterligere. Presentasjon plasseres da normalt i DMZ.
Intern sone	Sonen omtales også som åpen sone. Klienter og utstyr som ikke inneholder (lagrer lokalt) helse og personopplysninger. Utstyr som står i intern sone har gjennom sikkerhetsløsninger tilgang til andre soner som f eks
DMZ	Sonen(e) benyttes for å terminere trafikk inn eller ut mot andre soner som trenger sikring.

Sone

Beskrivelse

Sikker sone

Sonen omtales også som lukket sone eller sensitiv sone. Her skal tjenester som inneholder helse- og personopplysninger plasseres. Flere mindre virksomheter opererer kun med sikker sone når de er tilknyttet helsenettet. Tilgangen inn mot sikker sone skal sikres med tanke på å hindre uautorisert tilgang.

Ved lagdeling i en applikasjon (se kapittel 1) kan sikker sone deles ytterligere for å sikre applikasjon og informasjonsressurser ytterligere. Presentasjon plasseres da normalt i DMZ.

Intern sone

Sonen omtales også som åpen sone. Klienter og utstyr som ikke inneholder (lagrer lokalt) helse og personopplysninger. Utstyr som står i intern sone har gjennom sikkerhetsløsninger tilgang til andre soner som f eks

DMZ

Sonen(e) benyttes for å terminere trafikk inn eller ut mot andre soner som trenger sikring.

Eksempler - Soneinndeling på nettverksnivå, med bruk av flere soner

Nedenfor følger 2 eksempler på vanlig bruk av soner. (se også [LENKE] "Veileder for tilknytning til helsenettet"). I de fleste eksemplene er kunderuter fra Norsk Helsenett benyttet som indre brannmur, men kunden kan fritt sette opp dedikert brannmur i tillegg til kunderuteren.

Eksempel: Soneinndeling på nettverksnivå, med bruk av flere soner

Egenskaper:

Oppsett med to brannmurer som sikrer trafikk mellom sonene.
DMZ-soner tilknyttet både ekstern og intern brannmur for terminering av trafikk inn mot eller ut fra henholdsvis sikker sone (EPJ) og åpen sone (E-post).
Klienter har tilgang til sikker sone via terminalserver.

Eksempel - Bruk av virtualisering for å dele opp i ulike logiske soner

Egenskaper:

Virtualiseringsteknologi benyttes for å lage logiske skiller mellom de ulike sonene som etableres på samme fysiske infrastruktur.
Sikkerheten i virtualiseringslaget vil kunne tilby tilstrekkelig sikkerhetsbarriere.
Virtualisering kan gjøres både på server og nettverk i en slik løsning.

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 26. september 2018