Fysisk sikring av områder og utstyr (faktaark 17)

Om faktaarket

Dette faktaarket omhandler fysisk sikring av områder og utstyr.

Formålet med faktaarket er å hindre uautorisert adgang til utstyr benyttet for behandling av helse- og personopplysninger. Faktaarket omhandler kun fysisk sikring av utstyr lokalisert i en virksomhet. Elektronisk sikring er ikke inkludert. Mobilt utstyr og hjemmekontor er heller ikke inkludert.

For veileding om sikring av bærbart utstyr og hjemmekontor, se Sikring av bærbart utstyr (faktaark 18) og Hjemmekontor og annet fjernarbeid  (faktaark 29)

Det overordnede ansvaret for fysisk sikring ligger hos virksomhetens ledelse, mens gjennomføring av dem er vanligvis delegert til medarbeidere i virksomheten.

Faktaarket er aktuelt ved behandling av helse- og personopplysninger og for:

• Alle virksomheter i helsesektoren skal ha tiltak for å hindre at uautoriserte får fysisk adgang til helse- og personopplysninger.
• Den fysiske sikringen gjelder både for utstyr benyttet for å behandle helse- og personopplysninger og annet utstyr med betydning for informasjonssikkerheten.
• Tiltakene for fysisk sikring av områder og ustyr skal være tilpasset virksomhetens størrelse og hvor det behandles helse- og personopplysninger

Dette faktaarket er relevant for

Målgruppen for faktaarket er

• IKT-ansvarlig
• Prosjektleder
• Sikkerhetsleder / sikkerhetskoordinator
• Virksomhetens leder/ledelse
• Medarbeider/ansatt

Krav i Normen

Faktaarket gjelder følgende kapittel i Normen 

• Kapittel 5.3 Fysisk sikkerhet og håndtering av utstyr

Relevante lov og forskriftsbestemmelser, standarder og andre rammeverk

• Personvernforordningen artikkel 32 Sikkerhet ved behandlingen
• Veileder om risikostyring i informasjonssikkerhet og personvern

Fysisk sikring av områder og utstyr

Beskrivelsene nedenfor er eksempler på tiltak som kan gjennomføres for å hindre uautorisert adgang til utstyr. For å sikre at tiltakene er tilpasset den enkelte virksomhets behov og trusselbilde, bør alle de ulike områdene som er beskrevet i dette faktaarket vurderes og tiltak identifiseres gjennom en risikovurdering.

I likhet med at en PC med helse- og personopplysninger sikres med for eksempel autentiseringsløsning, brannmur, tilgang etter behov, er det av like stor betydning at fysisk sikring ivaretas. Brudd på den fysiske sikkerheten til områder og utstyr vil øke faren for at uvedkommende får tilgang til elektronisk lagrede helse- og personopplysninger. Det er et samspill mellom tiltak for den fysiske sikringen og tiltak som er iverksatt for elektronisk sikring. Tiltakene er gjensidig avhengig av hverandre for at en skal kunne oppnå tilfredsstillende sikring av helse- og personopplysninger.

1. Risikovurdering

1. Risikovurderingen må ta utgangspunkt i de konkrete fysiske arealene som skal sikres mot uautorisert adgang, se "Veileder om risikostyring i informasjonssikkerhet og personvern"
2. Risikovurderingen bør belyse behov for å definere arealene i ulike soner, ut fra virksomhetens størrelse. En sonemodell for fysisk adgang til helse- og personopplysninger for interne og eksterne kan defineres slik:
   • Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel
   • Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom
   • Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr

c. For mindre virksomheter der soneinndeling ikke er mulig må risikovurderingen belyse risiko for adgang til helse- og personopplysninger innen det aktuelle arealet

2. Nøkler/adgangskort

1. Identifiser områder og rom hvor utstyr med helse- og personopplysninger er plassert
2. Lag en oversikt over hvem som har tjenstlige behov for adgang til aktuelle områder og rom. Adgang til dedikerte rom med driftsutstyr (servere og utstyr) skal kun gis til personell med absolutt behov for adgang. Generelt skal adgang i størst mulig grad begrenses.
3. Lag en kvitteringsliste for tildeling av nøkler/adgangskort. Alle som får utlevert og leverer inn nøkler/adgangskort skal kvittere med navn, sted og dato for utleveringen/innleveringen. Listen bør revideres f.eks. 1 gang i året, evt. hyppigere når adgangene ofte endres.
4. I større virksomheter anbefales det en egen resepsjonstjeneste. Uautorisert personell og besøkende skal ledsages

3. Besøk av eksterne til eller via områder og rom hvor utstyr med helse- og personopplysninger er plassert

1. Etabler resepsjonstjeneste og/eller ledsagelse av uautorisert eksterne personer (besøkende)
2. Skrivere og arbeidsstasjoner som er plassert i tilknytning til fellesområder (resepsjoner, venterom, vaktrom, korridorer mv.) fysisk sikres slik at uvedkommende ikke får adgang til helse- og personopplysninger

4. Adgang til driftsutstyr (data- og kommunikasjonsrom)

Sikkerhetstiltak skal hindre at annet enn autorisert personell får adgang til slikt utstyr

1. Mindre virksomhet: Servere og annet nettverksutstyr skal oppbevares i låst skap eller rom med sylinderlås. Dersom det benyttes et skap, skal dette skrus fast til veggen eller gulvet. Skapet skal ikke plasseres i resepsjonen/publikumsområde. Resepsjon/publikumsområde skal heller ikke benyttes som rom for oppbevaring av utstyret.
2. Større virksomhet: Alle servere og annet nettverksutstyr skal oppbevares i et eget datarom, fortrinnsvis med kodelås. Det skal også være installert et system for varsling av innbrudd, som skal være tilkoplet kodelåsen. Systemet skal varsle en ansvarlig for datarommet, alternativt vaktsentral. Det kan vurderes å etablere en egen vaktordning.
3. Adgang til data- og serverrom bør registreres. F.eks. kan det føres en oversikt, hvor alle besøk registreres med navn, leverandør, oppdragsbeskrivelse, dato, tid for inn og ut, og servicemedarbeiderens signatur.

5. Medisinsk teknisk utstyr

1. Lagringsenhet for medisinsk teknisk utstyr som behandler helse- og personopplysninger skal plasseres i avlåst rom eller i bemannet område.
2. Medisinsk teknisk utstyr som behandler helse- og personopplysninger skal inkluderes i virksomhetens arbeid med informasjonssikkerhet, herunder risikovurderinger, adgangsregulering, fysisk sikring og prosedyrer for bruk, på linje med andre informasjonssystemer.