Riktlinje för tillhandahållande av behörighetsstyrande attribut

För att få åtkomst till E-hälsomyndighetens register ställs höga krav på tillit till de elektroniska identiteter som begär åtkomst, och till den behörighetsgrundande information och de attribut som är kopplade till dessa identiteter. Syftet med den här riktlinjen är att beskriva grundläggande säkerhetsnivå för tillhandahållandahållare av behörighetsstyrande attribut vid åtkomstbegäran till myndighetens produkter och tjänster.


1.  Omfattning

Anvisningarna i denna riktlinje omfattar de parter som tillhandahåller behörighetsstyrande attribut kopplade till elektroniska identiteter vars hantering regleras genom Sweden Connect och som nyttjas för åtkomst till myndighetens register.

2. Avgränsning

Part som tillhandahåller behörighetsstyrande attribut kopplade till elektroniska identiteter som nyttjas för åtkomst och vars hantering regleras genom Sambi och dess tillitsramverk, omfattas inte av denna riktlinje.

3. Termer och definitioner

TermDefinition
allvarlig säkerhetsincidentrapporteringspliktig säkerhetsincident som kan komma att föranleda omedelbara åtgärder bland de parter som förlitar sig på tillhandahållna tjänster
användarorganisationorganisation som bedriver verksamhet inom hälso- och sjukvården inkluderat vård av djur och djurhälsa, omsorgen eller som öppenvårdsapotek.
attributegenskap hos en medarbetare vid en användarorganisation som ligger till grund för beslut om åtkomstkontroll i en ansluten e-tjänst eller bastjänst

attributintyg

ett intyg i elektronisk form av urkundskvalitet utställt av tillhandahållare av behörighetsstyrande attribut som innehåller attribut knutna till en viss person

attributkälla

register innehållande kvalitetssäkrade attribut kopplade till en elektronisk identitet

attributprofil

specifikation som beskriver förekommande attribut och deras innebörd, och som bygger på sektorgemensamma överenskommelser med berörda parter.

autentisering

verifiering av en påstådd elektronisk identitet

behörighet

tilldelade rättigheter att använda en informationstillgång på ett specificerat sätt

e-legitimation

en elektronisk identitetshandling innehållande uppgifter som entydigt kan kopplas till en viss person och som kan användas för att identifiera innehavaren på elektronisk väg

e-tjänst

 informationstjänst med användargränssnitt som baserat på identitetsintyg medger att medarbetare vid en användarorganisation bereds åtkomst till tjänsten och eventuellt bakomliggande bastjänster

rapporteringspliktig säkerhetsincident

en oönskad eller oplanerad händelse som kunnat ha eller haft påverkan på säkerhetsåtgärderna för en tillhandhållen tjänst, eller som kunnat innebära eller inneburit en störning i tillhandahållarens förmåga att fullgöra de åtaganden som följer av tecknade avtal

självdeklaration

en försäkran upprättad av tillhandahållare av behörighetsstyrande attribut som beskriver hur regler angivna i detta dokument efterlevs

tillhandahållare av behörighetsstyrande attribut

tjänst som omfattar attributkälla och som förmedlar sådana kvalitetssäkrade uppgifter i formen av attribut till leverantör av e-tjänst

åtkomstkontrollstyrmedel i en e-tjänst som syftar till att reglera och begränsa en persons behörighet

4. Riktlinjer för tillhandahållare av behörighetsstyrande attribut

Tillhandahållare av behörighetsstyrande attribut ska ställa upp nödvändiga villkor gentemot den Användarorganisation för vilken tillhandahållaren förmedlar behörighetsstyrande attribut till annan part.

Villkoren ska spegla de skyldigheter som åligger Användarorganisationen enligt denna riktlinje.

4.1. Informationssäkerhet

Tillhandahållare av behörighetsstyrande attribut och dennes hantering av informationssäkerhet ska baseras på principer i enlighet med ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet.

Tillitsgrundande är att tillhandahållare och dess ledning kan ge bevis på sitt åtagande att upprätta, införa, driva, övervaka, granska, underhålla och förbättra informationssäkerhetsarbetet och att processerna för varje steg är dokumenterade och planerade, samt att erforderliga resurser för genomförandet är tillsatta.

Tillhandahållares förmåga till ett strukturerat och riskbaserat arbete med informationssäkerhet kan styrkas genom certifiering av ackrediterad revisor. Om alternativa standarder eller principer tillämpas ska en analys av överensstämmelse mellan standarderna vara genomförd, för att klargöra att inga väsentliga avvikelser förekommer.

4.2. Riskhantering

Tillhandahållare av behörighetsstyrande attribut ska ha tydliga och samordnade arbetssätt inom ramen för riskhantering. Detta innebär en förmåga att identifiera, analysera och motverka risker i enlighet med fastställda processer och rutiner för riskhantering.  

Processen för riskanalys ska vara dokumenterad och tillämpad för tjänsten, och ska bygga på en riskanalysmetodik som ger konsistenta, korrekta och jämförbara resultat. Processen ska även omfatta att utforma, införa och följa upp risklindrande åtgärder, samt utverkande av riskägarens godkännande av kvarvarande risk

Tillhandahållaren ska ha tydligt utpekade ansvarsroller såsom riskägare och åtgärdsägare samt kompetens att genomföra löpande riskanalyser i enlighet med tydliga metoder och värderingsmodeller.

Riskanalys och riskhantering ska utföras kontinuerligt, dock minst en gång per år.   

4.3. Incidenthantering

Tillhandahållare av behörighetsstyrande attribut ska ha tydliga och samordnade arbetssätt inom ramen för incident- och avvikelsehantering med en hög medvetenhet och förmåga att upptäcka, hantera och utreda incidenter och avvikelser kopplade till tjänsten.

4.3.1. Incidentrapportering

Former för vidarerapportering och lämpliga reaktiva och preventiva åtgärder ska vidtas för att lindra eller förhindra skada till följd en säkerhetsincident.

Vidarerapportering av Allvarliga säkerhetsincidenter och som påverkar tillhandahållandet av behörighetsstyrande attribut ska ske utan dröjsmål till E-hälsomyndigheten och innefatta alla uppgifter som finns tillgängliga och är relevanta för att dessa ska kunna vidta nödvändiga åtgärder för att hindra, begränsa eller lindra tänkbar skada. Så länge en sådan händelse är pågående ska förlitande parter kontinuerligt hållas underrättade om händelsen och dess förlopp.

Övriga Rapporteringspliktiga säkerhetsincidenter kan avrapporteras periodvis, dock med som längst kvartalsvisa intervall.

4.4. Tillhandahållande av behörighetsstyrande attribut

4.4.1. Tjänstens beskaffenhet

Utlämnande av Attribut ska föregås av en kontroll av den begärande parten. Attributintyg ska ha det format och följa den Attributprofil som från tid till annan krävs för åtkomst till de efterfrågade tjänsten och ska vara giltiga endast så länge som det krävs.

4.4.2. Villkor för underleverantörer

Tillhandahållare av behörighetsstyrande attribut som på annan part har lagt ut utförandet av en eller flera av de åtaganden som omfattas av denna riktlinje ska genom avtal definiera vilka av dessa åtaganden som underleverantören är ansvarig för och vilka krav som är tillämpliga på dem.

4.4.3. Hantering av behörighetsstyrande attribut

Informationsinnehållet i attributkällan ska vara korrekt och aktuellt. Där så är möjligt ska uppgifterna verifieras eller inhämtas och kontinuerligt uppdateras gentemot ursprungskällan såsom ett officiellt register. Som sådan källa räknas till exempel Skatteverkets folkbokföringsregistret, Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HoSP), Inspektionen för vård och omsorgs (IVO) vårdgivarregister, Bolagsverkets näringslivsregister samt Statistiska Centralbyråns (SCB) register över offentliga organ.

Personer som registreras i attributkällan som medarbetare vid en Användarorganisation ska ha ett anställnings- eller uppdragsförhållande till den organisation de registreras under. Kontroller av att anställning- och uppdragsförhållanden består och att registrerade attribut är korrekta ska genomföras minst en gång per kvartal, såvida inte medarbetaren redan vid registreringen har ett starkt tidsbegränsat uppdrag (mindre än 6 månader) och där behörigheten på förhand begränsats på samma sätt.

Rutiner för registrering, uppföljning, ändring och avregistrering av uppgifter i attributkällan ska vara dokumenterade, beslutade och tillämpade. Rutinerna ska innefatta att utan dröjsmål avregistrera sådana attribut som inte längre är aktuella då en person avslutar sin anställning eller sitt uppdrag, eller får ändrade arbetsuppgifter.

4.4.4. Styrning av åtkomst

Vid åtkomst av administrativ karaktär till Attributkälla och andra för säkerheten kritiska systemkomponenter ska strikt åtkomstkontroll tillämpas. Med detta avses att individuella och personbundna Behörigheter ska nyttjas i kombination med stark Autentisering av administratörens identitet.

4.4.5. Tekniska och kryptografiska säkerhetsåtgärder

Tekniska styrmedel och kontroller ska finnas införda som är tillräckliga för att säkerställa integritet, sekretesskydd, tillgänglighet och spårbarhet i de system och i den information som systemen behandlar. Med detta avses att tillhandahållare ska vidta de skyddsåtgärder som bör anses lämpliga och tillräckliga med beaktande av tillgänglig teknik, kostnaden för genomförandet av åtgärderna och de uppsatta riskacceptanskriterierna.

Principer som bör tillämpas är djupledsförsvar och överlappande säkerhetsåtgärder. Detta innefattar bl.a. krypteringsåtgärder, styrmedel för nätverkskommunikation i flera nivåer och restriktiv åtkomstkontroll till systemresurser och informationstillgångar.

Känsligt kryptografiskt nyckelmaterial som används för att identifiera kommunicerande parter vid överföring och utväxling av säkerhetskänsliga uppgifter ska skyddas så att åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det.

Kontrollernas effektivitet och tillräcklighet ska regelbundet utvärderas som del i kontinuerliga förbättringsarbetet.

4.4.6. Fysisk, administrativ och personorienterad säkerhet

De systemkomponenter som attributkällan byggs upp av ska skyddas fysiskt mot skada som följd av otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll till dessa skyddade utrymmen ska tillämpas så att åtkomst till den tekniska och fysiska omgivning där tjänsten finns installerad begränsas till de personer vars arbetsuppgifter kräver det.

Personal som deltar i verksamheten och som är av särskild betydelse för säkerheten ska ha genomgått bakgrundskontroll. Detta i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personerna har de kvalifikationer som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra sina arbetsuppgifter.

4.4.7. Spårbarhet

Samtliga administrativa åtgärder och förändringar i attributkällan ska kunna spåras genom en behandlingshistorik (logg) på individnivå.

Tiden för uppgifternas bevarande ska inte understiga fem år och uppgifterna ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt och har stöd i lag eller annan författning.

4.5. Internkontroll

Tillhandahållare av behörighetsstyrande attribut ska inrätta en funktion för internrevision som periodiskt granskar verksamheten och efterlevnaden av ställda krav. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan. Revisionsmoment ska väljas utifrån en risk- och väsentlighetsanalys och grundas i den självdeklaration som tillhandahållaren lämnat.

Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning. Internrevisorn ska också ha den kompetens och erfarenhet som krävs för att med rimlig säkerhet kunna påvisa att den försäkran som lämnats genom självdeklarationen, från tid till annan, inte är behäftad väsentliga fel. En sådan grad av säkerhet anses kräva viss insamling och verifiering av objektiva bevis.

Resultatet av internrevisionen ska dokumenteras i en internrevisionsrapport och innefatta ett uttalande om internrevisionen anser att lämnade beskrivningar i självdeklaration återspeglar en rättvisande bild av hur organisationens verksamhet överensstämmer med dessa riktlinjer eller om självdeklarationen kan vara behäftad med väsentliga felaktigheter. Rapporten ska innehålla identifierade brister samt en åtgärdsplan för hantering av sådana eventuella brister.

På förfrågan, ska E-hälsomyndigheten ges möjlighet att ta del till de delar av resultatet som rör tjänsten och som omfattas av denna riktlinje.

4.6. Självdeklaration

Tillhandahållare av behörighetsstyrande attribut ska upprätta en försäkran som beskriver efterlevnad av krav angivna i denna riktlinje.

Försäkran lämnas i form av självdeklaration inför varje ny anslutning. Förnyad självdeklaration genomföras kontinuerligt vart annat år eller vid förändringar som kan påverka resultatet av senast inlämnad och godkänd självdeklaration.

Vid misskötsel eller vid identifierade brister inom områden angivna i denna riktlinje, kan E-hälsomyndigheten kräva förnyad revision och rapport med identifierade brister samt åtgärdsplan.


Versionshistorik

Version

Datum

Kommentar

1.02021-11-27Ny handbok vård- och apotekstjänster