2018-06-18 1 (5) GUIDE FÖR SÄKER BEHÖRIGHETSHANTERING Digitaliseringsenheten Guide för säker behörighetshantering Innehåll Om guiden... 1 Om behörigheter... 2 Gör en informationsklassning först... 2 Visa efterlevnad... 2 Rutiner för behörighetshantering... 2 Rutin för behörighetshantering av användarkonton... 2 Särskild hantering av systemadministratörer och expertanvändare... 3 Rutin för behörighetshantering av systemadministratörer och expertanvändare... 3 Rutiner för lösenordshantering... 3 Lösenordshantering i verksamhetssystem... 3 Extra säker inloggning vid sekretess, känsliga uppgifter och hög behörighet... 4 Viktigt att följa lagar, förordningar och föreskrifter... 4 För vårdgivare (Patientdatalag 2008:355)... 4 Medarbetarens egna ansvar... 5 Om guiden Denna guide riktar sig till dig som hanterar behörigheter i verksamhetssystem i Nacka kommun, till exempel som systemägare eller systemadministratör. Syftet med guiden är att ge en vägledning i hur du och din verksamhet hanterar behörigheter på ett säkert sätt. Den beskriver rutiner som bör sättas upp i anslutning till varje system. Beskrivningen av behörighetshanteringen är en tolkning av ISO 2700-seriens rekommendationer. POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167
2 (5) Om behörigheter En behörighet är någons rätt att få tillgång till och behandla information i ett system och kan även omfatta rättigheten att ändra hela strukturen i verktyget. En behörighet kan även ge någon rätt att utföra ett uppdrag (till exempel genomföra en betalning). Behörigheter kan sättas på olika nivåer. Till exempel kan du som användare på en Sharepoint-webbplats ha behörighet att läsa och ladda ner, men inte ändra, information (låg behörighet), medan den som skapade webbplatsen (administratören) förutom att läsa, lägga till och ändra information även kan ändra hela strukturen i verktyget (hög behörighet). Kort sagt handlar behörighetshantering om att ge rätt person tillgång till rätt information vid rätt tillfälle. Gör en informationsklassning först Varje system bör genomgå en informationsklassning där risknivån bedöms för informationen. Hur högt skydd behöver finnas? Det avgör hur behörighetsstrukturen sätts upp och hur behörigheter ska hanteras. Visa efterlevnad De verksamheter som har tillgång till system med hög säkerhetsnivå (det vill säga som innehåller känslig eller sekretessbelagd information) måste säkerställa och visa att de säkerhetskrav som ställs på systemet efterlevs. Ett sätt är att använda verktyget KLASSA där du får tillgång till handlingsplaner för att höja/bygga in säkerheten till önskad nivå. Rutiner för behörighetshantering Rutin för behörighetshantering av användarkonton Skapa tydliga rutiner för tilldelning, granskning och avslut. o Skriv ner hur behörigheterna ska hanteras och granskas. o Säkra att det finns en logg över behörigheterna i systemet. o Granska behörigheterna regelbundet, till exempel kvartalsvis. Konton med höga behörigheter, som till exempel administratörer och expertanvändare, ska granskas mer frekvent. Vid granskningen kontrollerar du om kontot om kontot ännu är aktuellt och om behörighetsnivån är rätt. Tilldelning - Skriv under avtal först. Innan någon får behörighet och tillgång till ett system: säkra att personen skrivit under eventuella nödvändiga avtal (till exempel sekretessavtal) Tilldelning Skapa personliga och unika konton. Om flera personer delar på samma konto får vi problem att spåra vem som gjort vad i systemet. Då är säkerhetsnivån lägre än den bör vara. Tilldelning tillräckliga rättigheter. Användaren ska endast få tillgång till det som behövs för att kunna utföra arbetet. Avslut - Ta snarast möjligt bort behörigheter när någon slutar, och/eller byter roll i kommunen. Säkra att det finns en logg över tilldelade och avslutade behörigheter. I vissa fall behöver loggen sparas några år efter avslut (gäller särskilt höga behörigheter).
3 (5) Särskild hantering av systemadministratörer och expertanvändare En användare med hög behörighet, till exempel en systemadministratör eller en expertanvändare har ofta maximal eller hög rättighet att både hantera information och många funktioner i systemet. Det är därför extra viktigt att dessa behörigheter administreras på ett strukturerat sätt. Rutin för behörighetshantering av systemadministratörer och expertanvändare Hämta godkännande på en högre nivå: Användarkonton för systemadministratörer bör identifieras och godkännas på en högre nivå än vanliga användarkonton. Skapa och aktivera administratörskontot först när godkännandeprocessen är klar. Administratörkontot ska inte användas i syfte att utföra ordinarie arbete. Systemadministratören ska ha en hög och uppdaterad kompetens inom det aktuella verksamhetssystemet. Konton med hög behörighet ska ha en tätare intervall av säkerhetsåtgärder som exempelvis förnyade av lösenord, till exempel var sjätte månad. Det ska finnas en rutin som strikt begränsar antalet administratörkonton. Det ska finnas ett register över samtliga systemadministratörskonton och expertanvändarkonton. Det bör, om möjligt, finnas en giltighetstid för systemadministratörskonton. Rutiner för lösenordshantering Lösenordshantering i verksamhetssystem Systemet för lösenordshantering bör vara interaktivt och säkerställa kvalitativa lösenord. Det innebär att systemet ska: säkerställa lösenord av hög kvalitet. Ett bra lösenord innehåller stora och små bokstäver, siffor och specialtecken och är minst 8 tecken långt. ha en funktion där användaren bestämmer sitt eget lösenord efter de riktlinjer som systemet kräver. kräva ett nytt lösenord minst en gång per år. ha ett register över gamla lösenord, kopplat till användaren för att förhindra att samma lösenord används flera gånger. lagra och överföra lösenord på ett säkert sätt.
4 (5) Extra säker inloggning vid sekretess, känsliga uppgifter och hög behörighet Höga behörigheter och system som innehåller känsliga uppgifter eller källkod, där en konsekvens skulle bli betydande till allvarlig enligt informationsklassningsmodellen, bör säkerställa en extra säker inloggning. Gör så här: Skapa rutiner för en starkare autentisering (identitetsverifiering) av användaren. Inför striktare rutiner för att minimera åtkomst till information i systemet, det vill säga användaren ska endast ha tillgång till rätt information. Visa ett varningsmeddelande att systemet endast får användas av behörig användare. Validera informationen endast när alla data matats in. Vid fel får ingen hänvisning ges till vad felet beror på. Det ska finnas ett skydd mot brute-force -inloggningsförsök. Lösenord får inte kunna visas i klartext. Lösenord får inte överföras i klartext över ett nätverk. Säkerställ ett automatiskt avslut av inaktiva sessioner efter en definierad tidsperiod av inaktivitet. Viktigt att följa lagar, förordningar och föreskrifter Det finns flera lagar, förordningar och föreskrifter som reglerar hur information får hanteras med hänsyn till behörigheter. Det är upp till varje verksamhet att känna till och efterleva dessa lagkrav. Ett exempel är patientdatalagen nedan. För vårdgivare (Patientdatalag 2008:355) Nacka kommuns vårdgivare ska begränsa användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.
5 (5) Medarbetarens egna ansvar Med rättigheter och behörigheter följer också ett ansvar för den information som medarbetaren hanterar. Detta gäller särskilt vid hantering av känslig och/eller sekretessbelagd information. Du som administrerar behörigheter bör i samband med tilldelning av behörigheter upplysa om medarbetarens ansvar, se nedan: Tänk på att: Skydda känslig/sekretessbelagd information den får inte spridas till obehöriga. Lagra information på ytor med rätt säkerhetsnivå. Skydda inloggningsuppgifter och/eller behörighetskoder. Håll dem för dig själv. Du bör inte använda samma lösenord till kommunens verksamhetssystem som du använder privat, till exempel i sociala medier. Du ska alltid rapportera misstänkta eller upptäckta informationssäkerhetsincidenter till servicecenter. Det kan till exempel handla om att någon obehörig fått tillgång till information.