Försäkringskassans utfärdardeklaration. Rev A

Transkript

1 Försäkringskassans utfärdardeklaration Rev A

2 , Infrastruktur, Säkerhet Innehåll 1 OMFATTNING REFERENSER DEFINIONER OCH FÖRKORTNINGAR FÖRKORTNINGAR INTRODUKTION TILL DENNA UTFÄRDARDEKLARATION FÖRÄNDRINGSRUTIN KRAV PÅ RUTINER FÖR CERTIFIERINGSTJÄNSTEN PKI LIVSCYKELHANTERING AV NYCKLAR Lagring, backup och återskapande av Försäkringskassans nycklar Distribution av Försäkringskassans publika nyckel PKI LIVSCYKELHANTERING AV E-TJÄNSTELEGIMATIONER Användarregistrering Skapande av e-tjänstelegitimationer Spridning av användarvillkor Spridning av e-tjänstelegitimationer Spärr av e-tjänstelegitimationer DRIFT OCH LEDNING Upphörande av Försäkringskassans certifieringstjänster Registrering av uppgifter gällande e-tjänstelegitimationer Versionshantering Datum Version Ändring Rev A Officiell version Copyright, Försäkringskassan Sid. 2 (14)

3 , Infrastruktur, Säkerhet 1 Omfattning Denna utfärdardeklaration beskriver de procedurer och rutiner som Försäkringskassan tillämpar vid utfärdande av e-tjänstelegitimationer som möter de krav som specificeras i Försäkringskassans principer för e- tjänstelegitimationer [ETLP]. Av strukturella skäl följer denna utfärdardeklaration samma numrering av rubriker som [ETLP]. Försäkringskassan svarar för de åtaganden som anges i kapitel 6.1 av [ETLP] samt denna utfärdardeklaration, även om någon annan utför åtgärderna på Försäkringskassans uppdrag. Hänvisningar till denna utfärdardeklaration innefattar hädanefter också en hänvisning till Försäkringskassans principer för e-tjänstelegitimationer [ETLP]. Ändamålet med denna utfärdardeklaration är: 1. att ange de rutiner som Försäkringskassan tillämpar för utfärdande och spärr av e-tjänstelegitimationer och de åtaganden som aktörerna avses göra, och 2. att skapa tillit till de e-tjänstelegitimationer som utfärdas i överensstämmelse med Försäkringskassans principer för e- tjänstelegitimationer [ETLP] och de elektroniska underskrifter som verifieras med hjälp av e-tjänstelegitimationerna, genom att reducera och tydliggöra de finansiella, operativa och juridiska riskerna. Den förlitande part som tar emot en e-tjänstelegitimation eller en elektronisk underskrift som verifieras med hjälp av en e-tjänstelegitimation som utfärdats av Försäkringskassan i enlighet med [ETLP] och denna utfärdardeklaration: 1. svarar enligt kapitel 6.3 för att kontrollera att e- tjänstelegitimationen och den elektroniska underskriften är äkta, att e-tjänstelegitimationen är giltig och inte har spärrats samt att den endast används för ändamål som är förenliga med e- tjänstelegitimationsprinciperna [ETLP] och denna utfärdardeklaration, och 2. bedömer utifrån e-tjänstelegitimationsprinciperna [ETLP] och denna utfärdardeklaration om en e-tjänstelegitimation kan anses vara tillförlitlig för den användning som är aktuell i det enskilda fallet. Försäkringskassan förbinder sig att följa e-tjänstelegitimationsprinciperna [ETLP], där det är tillämpligt, och tydligt upplysa i information om e- Copyright, Försäkringskassan Sid. 3 (14)

4 , Infrastruktur, Säkerhet tjänstelegitimationer och spärrtjänster, att e-tjänstelegitimationerna tillhandahålls i enlighet med [ETLP] och denna utfärdardeklaration. Försäkringskassan är utfärdare och ansvarar för innehållet i de e- tjänstelegitimationer som Försäkringskassan utfärdar. I det fall Försäkringskassan utfärdar e-tjänstelegitimationer till smarta kort som utfärdats av annan organisation ansvarar Försäkringskassan för att kortutfärdandet följer de krav som ställs i [ETLP] och i denna utfärdardeklaration. För att Försäkringskassan i de fallet ska kunna fullfölja sitt uppdrag som utfärdare utför kortutfärdaren vissa funktioner såsom identifiering och kontroll av nyckelinnehavaren samt utlämning av smart kort (med nycklar och e-tjänstelegitimationer) för Försäkringskassans räkning. Försäkringskassan anlitar Gemalto fortsättningsvis kallad Leverantören som underleverantör. Leverantören utför ett flertal tjänster på Försäkringskassans uppdrag för att Försäkringskassan ska kunna fullgöra sitt ansvar som utfärdare. Det är dock Försäkringskassan som har det övergripande ansvaret för utfärdande av e-tjänstelegitimationer. Vid tolkning av utfärdardeklarationen gäller följande: 1. Rubrikerna följer i huvudsak europeisk praxis [ETSI QCP]. Vid tolkning av utfärdardeklarationen ska texten under varje rubrik ges företräde framför formuleringar och uttryck i rubriker. 2. Utfärdardeklarationen anger miniminivåer för rutiner och säkerhetskrav. Copyright, Försäkringskassan Sid. 4 (14)

5 , Infrastruktur, Säkerhet 2 Referenser I detta dokument refereras till följande information: [SignaturLag] [X.509] [ISO 9001] [ISO 15408] [ISO 27001] [ISO 27002] [RFC 3647] [RFC 5280] [ETSI QCP] [SBC 151-U] Lag (2000:832) om kvalificerade elektroniska signaturer. U-T Recommendation X.509 (08/2005): Information Technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. SS-EN ISO 9001:2008, Ledningssystem för kvalitet Krav ISO/IEC (2005) (Parts 1-3): Information technology Security techniques Evaluation criteria for security. SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2005, Riktlinjer för styrning av informationssäkerhet RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Santosh Chokani, Warwick Ford, Randy V. Sabett, Charles R. Merrill, Stephen S. Wu, IETF, November 2003, RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, David Cooper, Stefan Santesson, Steven Farrell, Sharon Boyen, Russel Housley, Tim Polk, IETF, May 2008, ETSI TS V1.4.3 ( ): Electronic Signatures and Infrastructure (ESI); Policy requirements for certification authorities issuing qualified certificates, Technical specification. SBC 151-U, Särskilda Bestämmelser för Certifiering av överensstämmelse med standard, Utgåva 14, , (SS ), [FIPS 140-2] FIPS PUB 140-2: Federal Information Processing Standards Publication Security Requirements for Cryptographic Modules, May 25, 2001, [TCP] Bilaga 3: Tjänstecertifikatpolicy, Version 2.3, Skatteverket, [ETLP] Försäkringskassans principer för e-tjänstelegitimationer. Copyright, Försäkringskassan Sid. 5 (14)

6 , Infrastruktur, Säkerhet 3 Definitioner och förkortningar För definitioner som förekommer i dokumentet, se [ETLB]. 3.2 Förkortningar Förkortning Fullständigt uttryck AD CA CPS CRL ETSI OCSP PIN PKI PUK RSA UPN Active Directory Certification Authority Certification Practice Statement Certificate Revocation List European Telecommunications Standards Institute Online Certificate Status Protocol Personal Identification Number Public Key Infrastructure PIN Unblocking Key Rivest Shamir Adleman User Principal Name Copyright, Försäkringskassan Sid. 6 (14)

7 , Infrastruktur, Säkerhet 5 Introduktion till denna utfärdardeklaration Försäkringskassans rutiner och åtaganden som följer av denna utfärdardeklaration är endast tillämpliga i samband med e- tjänstelegitimationer som åberopar Försäkringskassans principer för e- tjänstelegitimationer [ETLP] som är tilldelad följande unika objektidentifierare: { iso(1) member-body(2) SE(752) Forsakringskassan(146) Policies(1) e- tjanstelegitimationspolicy(1) version1(1) } Ovanstående objektidentifierare framgår i Försäkringskassans e- tjänstelegitimationer som utfärdas i enlighet med Försäkringskassans principer för e-tjänstelegitimationer och denna utfärdardeklaration. 5.1 Förändringsrutin Förändringar som kan ske utan underrättelse De ändringar som kan göras av denna utfärdardeklaration utan underrättelse är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna regler. Förändringar som kräver underrättelse Stora ändringar av denna utfärdardeklaration får företas 90 dagar efter underrättelse. Mindre ändringar som endast berör ett fåtal nyckelinnehavare eller förlitande parter kan göras 30 dagar efter underrättelse. Försäkringskassan avgör om ändringar av utfärdardeklarationen ska ske efter underrättelse inom 90 dagar eller 30 dagar. Copyright, Försäkringskassan Sid. 7 (14)

8 , Infrastruktur, Säkerhet 7 Krav på rutiner för certifieringstjänsten Försäkringskassan säkerställer att säkerhetsmålen från [ETLP] är uppfyllda. Endast i de fall att det har ansetts att uppfyllandet av säkerhetsmålen i [ETLP] har krävt en utförligare beskrivning har motsvarande kapitel eller punkter tagit med i denna utfärdardeklaration. 7.2 PKI Livscykelhantering av nycklar Lagring, backup och återskapande av Försäkringskassans nycklar Försäkringskassan säkerställer att dess privata nycklar behandlas konfidentiellt och med bibehållen integritet. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassans privata nyckel för underskrift lagras och användas i en kryptografiskt säker hårdvara, som: - uppfyller kraven i [FIPS 140-2], nivå 3, och - håller på att evalueras till nivå EAL4+ enligt [ISO 15408]. b) Försäkringskassans privata nyckel hanteras aldrig utanför den kryptografiska säkra hårdvaran. c) Försäkringskassans privata nyckel säkerhetskopieras och lagras i hårdvara och återläsas av medarbetare i betrodd ställning, vilket kräver dubbelkommando i fysiskt säker miljö. Antalet personer som är betrodda att utföra denna funktion hålls så få som möjligt Distribution av Försäkringskassans publika nyckel Försäkringskassan säkerställer att det finns förutsättningar för att dess publika nyckel med tillhörande parametrar kan hållas autentisk och med bibehållen integritet under distributionen till förlitande parter. Förlitande part har ansvaret för att bereda sig tillgång till Försäkringskassans publika nyckel samt att förvissa sig om att den är äkta och giltig. Särskilt iakttar Försäkringskassan följande punkt: a) Försäkringskassans publika nyckel görs tillgänglig för förlitande parter i form av ett självsignerat CA-certifikat som ligger på Försäkringskassans web. Copyright, Försäkringskassan Sid. 8 (14)

9 , Infrastruktur, Säkerhet 7.3 PKI Livscykelhantering av e-tjänstelegitimationer Användarregistrering Försäkringskassan säkerställer att nyckelinnehavarna har blivit korrekt identifierade och att identiteterna blivit bestyrkta; samt att nyckelinnehavarnas beställningar av e-tjänstelegitimationer är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Särskilt har följande punkter iakttagits: h) Övrig personlig information som identifierar nyckelinnehavaren som ingår i Försäkringskassans e-tjänstelegitimationer enligt denna utfärdardeklaration är: a. SIS-kortnumret 1 läses upp automatiskt från det smarta kortets filstruktur av Leverantören och skickas över till Försäkringskassans utfärdarsystem i meddelandet om begäran av e-tjänstelegitimation. b. Användarens kontonamn (UPN 2 ) kontrolleras automatiskt mot det lokala -systemet (AD) tillhörande det statliga eller kommunala organ vid vilket nyckelinnehavaren tjänstgör eller innehar uppdrag och förs över till Försäkringskassans utfärdarsystem i samband med beställningen av smart kort med e-tjänstelegitimation. j) De register som anges ovan bevaras under minst 10 år efter att e- tjänstelegitimationens giltighet gått ut för att kunna utgöra bevis för utfärdande av e-tjänstelegitimation i rättsliga förfaranden enligt gällande lag Skapande av e-tjänstelegitimationer Försäkringskassan säkerställer att utfärdandet av e-tjänstelegitimationer görs på ett så säkert sätt att e-tjänstelegitimationernas äkthet upprätthålls. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassans e -tjänstelegitimationer utfärdas för viss tid samt innehåller 3 : 1 Enligt SS och ISO/IEC User Principal Name; måste finnas i certifikat för inloggning mot AD i alla Windows versioner före Windows 2008 Server. 3 Jämför med [SignaturLag], 6. Copyright, Försäkringskassan Sid. 9 (14)

10 , Infrastruktur, Säkerhet - Försäkringskassans namn på engelska (Swedish Social Insurance Agency) samt uppgift om e-tjänstelegitimationen är utfärdad i Sverige. - Nyckelinnehavarens namn och personnummer eller samordningsnummer - Särskilda uppgifter om nyckelinnehavaren (UPN) som krävs för att använda e-tjänstelegitimationen för att logga in i Windows - Uppgift om e-tjänstelegitimationens giltighetstid - Ett serienummer som unikt identifierar e- tjänstelegitimationen - Försäkringskassans avancerade elektroniska underskrift - Uppgift om begränsningar av e-tjänstelegitimationens användningsområde i form av extensionerna nyckelanvändning (keyusage) och avancerad nyckelanvändning (extendedkeyusage). d) I de fall Försäkringskassan skapar nyckelinnehavarnas nycklar: - Kopplas utfärdande av e-tjänstelegitimationen till skapandet av nyckelparet genom att nycklarna skapas på kortets chip under överseende av en lokal administratör som en integrerad del av skapandet av e-tjänstelegitimationen i rutinen för tilldelning av tidsbegränsat smart kort. - Skickas den privata nyckeln till den registrerade blivande nyckelinnehavaren genom att det smarta kortet där den privata nyckeln ligger överlämnas från den lokala administratören till nyckelinnehavaren Spridning av användarvillkor Försäkringskassan säkerställer att användarvillkoren görs tillgängliga för nyckelinnehavare och förlitande parter. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassan säkerställer att följande villkor för användning av e-tjänstelegitimationen görs tillgängliga för nyckelinnehavare och förlitande parter: - Försäkringskassans principer för e-tjänstelegitimationer [ETLP] ska följas. - Användning av e-tjänstelegitimationen får endast ske i sitt yrkesutövande och med det användningsområde (elegitimering respektive e-underskrift) som anges i e- tjänstelegitimationen. - Nyckelinnehavaren ska uppfylla åtagandena enligt kapitel Förlitande part ska verifiera att e-tjänstelegitimationen är äkta, utefter en lämplig certifieringskedja i enlighet med de Copyright, Försäkringskassan Sid. 10 (14)

11 , Infrastruktur, Säkerhet procedurer som specificeras i [X.509] och [RFC 5280], inklusive kontroll av spärrinformation, så att det kan anses rimligt att förlita sig på e-tjänstelegitimationen. - Försäkringskassan kommer att bevara den registrerade informationen i 10 år efter att giltighetstiden för e- tjänstelegitimationen gått ut. - Försäkringskassan loggar kommer att bevaras i minst 10 år. - Procedurer för konfliktlösning mellan Försäkringskassan och förlitande parter samt hantering av klagomål kan regleras i separata överenskommelser eller avtal Spridning av e-tjänstelegitimationer Försäkringskassan säkerställer att e-tjänstelegitimationerna görs tillgängliga för nyckelinnehavare och förlitande parter på det sätt som krävs. Särskilt iakttar Försäkringskassan följande punkter: b) E-tjänstelegitimationen görs tillgänglig för hämtning av nyckelinnehavaren. Försäkringskassan ansvarar däremot inte för att göra e-tjänstelegitimationer tillgängliga för förlitande parter. Detta ansvar åläggs nyckelinnehavarna. c) De tillämpliga villkoren i denna utfärdardeklaration kan identifieras för en given e-tjänstelegitimation genom att e-tjänstelegitimationen är försedd med en länk (URL) som pekar på detta dokument. d) Informationen i b) och c) ovan är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan informationen vara otillgänglig under viss tid Spärr av e-tjänstelegitimationer Försäkringskassan säkerställer att e-tjänstelegitimationer spärras i tid baserat på en trovärdig spärrbegäran. Särskilt iakttar Försäkringskassan följande punkter: Spärrhantering a) Försäkringskassans förfarande att spärra e-tjänstelegitimationer bygger på följande principer: - Tillämplig personal som har rätt att spärra e- tjänstelegitimationer är: nyckelinnehavare, centrala kortadministrationen på Försäkringskassan samt behöriga personer som representerar nyckelinnehavarnas arbetsgivare. Copyright, Försäkringskassan Sid. 11 (14)

12 , Infrastruktur, Säkerhet - Begäran om spärr kan lämnas genom att ringa till centrala kortadministrationen på Försäkringskassan - Försäkringskassan kräver ingen ytterligare bekräftelse av inkomna spärrar. - Försäkringskassan tillämpar inte tillfällig spärr av e- tjänstelegitimationer. När en e-tjänstelegitimation blivit spärrad kommer den inte att tas bort från spärrlistan förrän e-tjänstelegitimationens giltighetstid gått ut. - Försäkringskassan gör spärrinformationen tillgänglig i form av spärrlistor och via en realtidstjänst (OCSP). - Försäkringskassan säkerställer att behandlingstiden från mottagande av begäran av spärr till dess spärrinformation gjorts tillgänglig för alla förlitande parter ej kommer att överstiga ett dygn. g) Försäkringskassans spärrlistor publiceras åtminstone en gång var 6:e timme, samt: - Varje spärrlista anger att nästa spärrlista senast kommer att publiceras (i fältet nextupdate) 6 timmar efter den aktuella spärrlistan publicerades. - En ny spärrlista kan publiceras innan den tid som anges (i fältet nextupdate) i föregående spärrlista - Varje spärrlista är signerad av Försäkringskassan. h) Försäkringskassans tekniska spärrtjänst 4 är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan spärrtjänsten vara otillgänglig under viss tid. Försäkringskassans spärrtjänst är bemannad och öppen följande tider: - Vardagar: 8:00 16:30 Spärrinformation i) Försäkringskassans spärrinformation är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan information vara otillgänglig under viss tid. 4 Med begreppet teknisk spärrtjänst avses det tekniska system med vilket man kan spärra certifikat. Copyright, Försäkringskassan Sid. 12 (14)

13 , Infrastruktur, Säkerhet 7.4 Drift och ledning Upphörande av Försäkringskassans certifieringstjänster Försäkringskassan säkerställer att risken för potentiella avbrott för nyckelinnehavare och förlitande parter som ett resultat av upphörande av Försäkringskassans certifieringstjänster är minimal. Försäkringskassan säkerställer fortsatt underhåll av de register som krävs för att ge belägg för utfärdande av e-tjänstelegitimation (t.ex. vid en rättegång) efter att Försäkringskassans certifieringstjänster har upphört. Särskilt iakttar Försäkringskassan följande punkt: c) Försäkringskassan kommer att vidta följande åtgärder vid upphörandet av certifieringstjänsterna: - Försäkringskassan kommer att se till att berörda parter kommer att informeras. - Försäkringskassan kommer att se till att Försäkringskassans skyldigheter som utfärdare kommer att överföras till andra parter - Om Försäkringskassan upphör med sina övriga certifieringstjänster kommer Försäkringskassan ändå att tillhandahålla en spärrkontrolltjänst för alla utfärdade e- tjänstelegitimationer så länge det finns utfärdade e- tjänstelegitimationer som är giltiga Registrering av uppgifter gällande e- tjänstelegitimationer Försäkringskassan säkerställer att all relevant information rörande e- tjänstelegitimationer registreras och hålls arkiverad, skyddad mot förändring och förstörelse, för en lämpligt lång tidsperiod, i synnerhet med avsikten att kunna ge belägg för utfärdande av e-tjänstelegitimationer. Särskilt iakttar Försäkringskassan följande punkt: g) Försäkringskassan loggar åtminstone följande händelser i direkt anslutning till utfärdarsystemet: - skapande av användarkonton, - initiering av transaktioner, med information om vem som begärde transaktionen, tidpunkt, vilken typ av transaktion som initierats samt uppgift om resultatet av initieringen, - installation och uppdatering av programvara, - relevant information om säkerhetskopiering, - start och stopp av systemet, - datum och tid för uppgradering av maskinvara, - datum och tid för säkerhetskopiering och tömning av loggar, Copyright, Försäkringskassan Sid. 13 (14)

14 , Infrastruktur, Säkerhet - datum och tid för säkerhetskopiering och tömning av arkivdata. Försäkringskassan säkerställer att åtminstone följande information loggas av Leverantören i system för personalisering av smarta kort: - referens till kortbeställning, - chipnummer, - kortnummer, - certifikatnummer, - datum och tid för personalisering. Copyright, Försäkringskassan Sid. 14 (14)