SITHS RAPS för Region Skåne
INNEHÅLLSFÖRTECKNING DEFINITIONER... 3 FÖRKORTNINGAR... 5 1 INLEDNING... 6 1.1 ÖVERSIKT... 6 1.2 BILAGOR... 6 1.3 IDENTIFIERING... 6 1.4 RELATION TILL ÖVRIGA STYRANDE DOKUMENT... 7 1.5 RA-ORGANISATION... 8 1.6 NYCKELINNEHAVARE OCH CERTIFIKATSTYPER... 8 1.6.1 Person HCC... 9 1.6.2 Tidsbegränsat Person HCC... 9 1.6.3 Tillfälligt Person HCC... 9 1.6.4 Organisation HCC... 9 1.6.5 Funktion HCC... 9 1.7 KONTAKTUPPGIFTER... 9 2 ALLMÄNNA VILLKOR... 10 2.1 FÖRPLIKTELSER OCH ÅTAGANDEN... 10 2.1.1 Region Skåne SITHS-CA... 10 2.1.2 RA SITHS-CA... 10 2.1.3 RA ORA... 10 2.1.4 RA och ORA LRA... 10 2.1.5 LRA NI... 10 2.1.6 LRA behörig representant... 10 2.1.7 Missbruk av certifikat... 11 2.2 FRISKRIVNING FRÅN ANSVAR... 11 2.3 REVISION... 11 2.3.1 Extern kontroll... 11 2.3.2 Intern kontroll... 11 2.4 KONFIDENTIALITET... 11 3 RUTINER FÖR IDENTIFIERING... 12 3.1 PERSON HCC... 12 3.1.1 Identifiering vid beställning av Person HCC... 12 3.1.2 Identifiering vid spärrning av Person HCC... 12 3.2 ORGANISATION HCC OCH FUNKTION HCC... 12 3.2.1 Identifiering vid beställning av Organisation HCC och Funktion HCC... 12 3.2.2 Identifiering vid spärrning av Organisation HCC och Funktion HCC... 12 4 RUTINER FÖR CERTIFIKATSHANTERING... 13 4.1 BESLUT OM TILLDELNING AV HCC... 13 4.2 BESTÄLLNING AV HCC...13 4.2.1 Person HCC... 13 4.2.2 Tidsbegränsat Person HCC... 13 4.2.3 Tillfälligt Person HCC... 13 4.2.4 Organisations och Funktions HCC... 14 4.3 SPÄRRNING AV HCC... 14 4.3.1 Godkända anledningar till spärr... 14 4.3.2 Undantag... 14 4.3.3 Spärrbegäran... 14 4.3.4 Spärrning... 14 1
4.4 RESERVKORTSHANTERING... 15 4.5 ARKIVERING... 15 4.5.1 RA... 15 4.5.2 ORA... 15 4.5.3 LRA... 15 4.6 AVBROTTSHANTERING OCH AVVECKLING... 16 4.6.1 Rutiner för avbrottshantering... 16 4.6.2 Avveckling av RA-organisation... 16 5 FYSISK OCH PERSONALORIENTERAD SÄKERHET... 17 5.1 FYSISK SÄKERHET... 17 5.2 PERSONALORIENTERAD SÄKERHET... 17 6 TEKNIKORIENTERAD SÄKERHET... 18 6.1 UTLÄMNANDE AV PRIVAT NYCKEL... 18 6.1.1 Utlämnande av privat nyckel vid utlämnande av reservkort... 18 6.1.2 Utlämnande av privat nyckel i samband med utfärdande av Organisation HCC och Funktion HCC. 18 6.2 SKYDD AV PRIVAT NYCKEL... 18 6.3 ARKIVERING AV PRIVAT NYCKLAR... 18 6.4 PROCEDURER FÖR SÄKERHETSREVISION... 18 6.4.1 Loggning... 18 6.4.2 Analys av logg... 19 6.4.3 Bevarandetid för logg... 19 7 REFERERADE DOKUMENT... 20 BILAGA 1. RUTINER VID MISSBRUK AV CERTIFIKAT... 21 BILAGA 2. PLAN FÖR GENOMFÖRANDE AV INTERN KONTROLL... 21 BILAGA 3. KONTINUITETSPLAN MED RUTINER FÖR AVBROTTSHANTERING... 21 BILAGA 4. LISTA PÅ ORGANISATIONER SOM OMFATTAS AV DENNA RAPS... 21 BILAGA 5. RUTIN FÖR ARKIVERING AV PRIVATA NYCKLAR... 21 FIGUR 1. RAPS RELATION TILL ÖVRIGA STYRANDE DOKUMENT.... 7 FIGUR 2. ROLLER INOM RA-ORGANISATIONEN... 8 FIGUR 3. LOGGAR PÅ OLIKA NIVÅER... 19 Revisionshistorik Version Status 2003-04-10 Fastställd av SITHS förvaltningsgrupp. 2
DEFINITIONER Endast begrepp och termer som används i detta dokument tas upp nedan. Begreppen är avstämda mot Terminologi för Informationssäkerhet Rapport ITS 6 [ITS6], SEIS Certificate Policy SEIS S10 [SEIS] och den svenska version som utgivits av Posten Sverige AB [Posten] samt rapporten Begrepp för ITsäkerhet [SÄKBRP]. Asymmetrisk krypteringsalgoritm: En krypteringsteknik som utnyttjar två relaterade transformeringsalgoritmer, en publik transformering, med användande av en publik nyckel, och en privat transformering med användande av en privat nyckel. De två transformeringarna har den egenskapen att om man känner den publika transformeringen är det matematiskt omöjligt att ur denna härleda den privata transformeringen. Autenticering: Kontroll av uppgiven identitet, t ex vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelanden mellan användare. Allmänt: styrkande av äkthet. Behörig representant: Anställd hos uppdragsgivare som har befogenhet att beställa och spärra certifikat hos CA. Certifikatpolicy: En namngiven uppsättning regler för framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. CA: Organisation som utfärdar certifikat genom att signera certifikat med sin privata CA-nyckel. Förkortning av Certification Authority. CA-nyckel: Nyckelpar där den privata nyckeln används av CA för att signera certifikat och där den publika nyckeln används för att verifiera samma certifikat. CA-certifikat: Certifikat som certifierar att en viss publik nyckel är publik nyckel för en specifik CA. Certification Authority: Se CA. Certification Practice Statement: Se CPS. Certifikat: Ett digitalt signerat intyg av en publik nyckels tillhörighet till en specifik nyckelinnehavare. CPS: En dokumentation av hur en CA tillämpar en certifikatpolicy. En CPS kan vara gemensam för flera certifikatspolicies. Förkortning av Certification Practice Statement. Dekryptering: Processen att omvandla krypterad (kodad) information till dekrypterad (läsbar) information. Se vidare kryptering. Digital signatur: En form av elektronisk signatur som skapas genom att signatären signerar digital information med sin privata nyckel enligt en speciell procedur. Den digitala signaturen kan användas dels för att spåra vem som signerat informationen och dels för att verifiera att informationen inte förändrats sedan den signerades. eid-kort: Elektroniska ID-kort i form av ett aktivt kort innehållande certifikat och nycklar samtidigt som kortets framsida kan utgöra en visuell ID-handling. Elektronisk signatur: Generell beteckning på signatur som skapats med hjälp av IT. Digital motsvarighet till traditionell underskrift. Se också digital signatur. Hälso- och sjukvården: Samlingsnamn för de organisationer som direkt eller indirekt arbetar med hälsooch sjukvård. Exempel är landstingsägda sjukhus, privatägda läkarhus. Se också vård och omsorg. Identitetscertifikat: Certifikat utfärdat till fysisk person. Certifikatet innehåller en omisskännlig identitet, t. ex personnummer. Kryptering: Processen att omvandla tolkningsbar information (klartext) till krypterad information. Syftet med den krypterade informationen är att den inte skall kunna tolkas av någon som inte innehar exakt rätt 3
nyckel (vid symmetrisk kryptering) eller exakt rätt privat nyckel (vid asymmetrisk kryptering) som krävs för att korrekt dekryptera informationen. Lokal RA: se LRA. Logg: En sekventiell och obruten lista över händelser i ett system eller en process. En typisk logg innehåller loggposter för enskilda händelser vilka var och en innehåller information om händelsen, vem som initierade den, när den inträffade, vad den resulterade i etc. LRA: En funktion som av RA tilldelats uppgiften att identifiera och registrera nyckelinnehavare samt därtill hantera olika decentraliserade procedurer relaterat till certifikatbeställning, spärrning, nyckelgenerering mm. LRA-område: Den del av en organisation inom vilken en LRA har rätt att utfärda certifikat. Nyckelinnehavare: I detta sammanhang en person, en organisation, en organisatorisk enhet eller en funktion som innehar exklusiv kontroll av den privata nyckel vars publika motsvarighet certifieras i ett certifikat. Omisskännlig identitet: En identitet bestående av en uppsättning attribut som på ett omisskännligt sätt relaterar till en specifik person. Den omisskännliga kopplingen mellan identiteten och personen kan vara beroende på sammanhang inom vilka identitetsbegreppen hanteras. Vissa av dessa sammanhang kan kräva hjälp från aktuell registerhållare av olika attribut. ORA: Organisations-RA, en part som av RA tilldelats uppgiften att upprätta och bemanna LRA. PIN-kod: Kod som används för att ge access till privat nyckel lagrad på eid-kort eller i PKCS#12-fil. Koden är vanligtvis numerisk, fyr- eller femställig. Det finns en PIN-kod för den privata autenticeringsnyckeln och en för den privata signeringsnyckeln. PIN-koderna skall vara hemliga för alla utom för nyckelinnehavaren. PKCS#12 fil: Fil innehållande privata nycklar och certifikat för en nyckelinnehavare. Filen är signerad av CA och krypterad. Primärcertifikat: Ett certifikat, som utfärdats på grundval av identifiering av nyckelinnehavaren på annat sätt än att denne företett ett annat certifikat. Identifieringen sker då vanligtvis genom att nyckelinnehavaren istället företer en identitetshandling. Privat nyckel: Den privata delen av ett nyckelpar som används inom asymmetrisk kryptering. Den privata nyckeln används främst för att skapa digitala signaturer samt för dekryptering av krypterad information. Publik nyckel: Den publika delen av ett nyckelpar som används inom asymmetrisk kryptering. Den publika nyckeln används främst för att verifiera digitala signaturer samt för att kryptera information. PUK-kod: Kod som kan användas för att ändra eller skapa nya PIN-koder. PUK-koden är betydligt längre än PIN-koden, 12 siffror eller mer. RA: En part som av CA tilldelats uppgiften att identifiera och registrera nyckelinnehavare samt därtill hantera olika decentraliserade procedurer relaterat till certifikatbeställning, spärrning, nyckelgenerering mm. RA-policy: En namngiven uppsättning regler för RA:s roll i framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. RAPS: En dokumentation av hur en RA tillämpar en RA-policy. Registration Authority: Se RA. Registration Authority Practice Statement: Se RAPS. Sekundärcertifikat: Certifikat som utfärdas på grundval av ett annat certifikat, primärcertifikatet. Detta innebär att utfärdande CA litar på den CA som utgett primärcertifikatet, d v s accepterar certifieringen av den publika nyckeln till nyckelinnehavaren, vilket i sin tur förutsätter tillit till att identifieringen av nyckelinnehavaren vid utfärdandet av primärcertifikatet är korrekt. Spärrlista: En digitalt signerad lista över spärrade certifikat. 4
Spärrning: Processen att spärra ett certifikat genom att lägga in information om certifikatet i en spärrlista. Skriftlig: Där denna policy specificerar att information skall vara skriftlig, tillgodoses detta krav generellt även av digitala data under förutsättning att dess informationsinnehåll är tillgängligt på ett sådant sätt att det är användbart för involverade parter. Symmetrisk kryptering: Kryptosystem som kännetecknas av att både sändare och mottagare av krypterad information använder samma hemliga nyckel både för kryptering och dekryptering. Tillförlitlig tredje part: Se TTP. TTP: En part som två eller flera samverkande parter litar på. En TTP utför tjänster åt de samverkande parterna, såsom t ex tidsstämpling, certifikatsutgivning. Uppdragsgivare: Den organisation inom hälso- och sjukvården som genom avtal ger i uppdrag till en CA att utfärda certifikat för organisationens anställda, vårdgivare som arbetar på organisationens uppdrag samt organisatoriska enheter och funktioner. Uppdragsgivaren i detta dokument är Region Skåne. Vård och omsorg: Samlingsnamn för de organisationer som direkt eller indirekt arbetar med vård och omsorg. Exempel är landstingsägda sjukhus, privatägda läkarhus, äldrevård i kommunal regi och kommunal omsorgsverksamhet. Jfr hälso- och sjukvård. FÖRKORTNINGAR CA Certification Authority CPS Certification Practice Statement CRL Certificate Revocation List, på svenska spärrlista eid Elektroniskt ID-kort HCC Healthcare Certificate eller Hälso- och sjukvårdscertifikat, certifikat för svensk vård och omsorg. se [HCC] HSA Hälso- och sjukvårdens adressregister [HSA] IDC Identitetscertifikat KPT Katalogpolicytillämpning LRA Lokal RA LYHS Lag om yrkesverksamma inom hälso- och sjukvårdsområdet. NI Nyckelinnehavare OID Object Identifier ORA Organisations RA.. PIN Personal Identification Number PKCS Public Key Cryptography Standards PKI Public Key Infrastructure PUK Personal Unblocking Key RA Registration Authority RAPS Registration Authority Practice Statement SEIS Säker Elektronisk Information i Samhället SIS Swedish Institute of Standards SITHS Säker IT i Hälso- och sjukvården TTP Tillförlitlig tredje part eller Trusted Third Part 5
1 INLEDNING 1.1 ÖVERSIKT Detta dokument är den Registration Authority Practice Statement (RAPS) som beskriver hur RAorganisationen är utformad för Region Skåne för att uppfylla de krav som anges i SITHS CA:s RApolicy. SITHS CA utger elektroniska certifikat, så kallade Health Care Certificate (HCC), för personer, organisationer och funktioner inom svensk vård och omsorg. Denna RAPS beskriver förutsättningar, ansvar och de procedurer och rutiner som tillämpas vid beställning och spärrning av HCC inom RA-organisationen. Målgrupp för dokumentet är SITHS CA, RA, ORA/LRA och verksamhetsansvariga inom Region Skåne-organisationen. En förteckning över de organisationer som omfattas av denna RAPS återfinns i bilaga 4. 1.2 BILAGOR Bilagor som följer med denna RAPS: Bilaga 1 Rutiner vid missbruk av certifikat Bilaga 2 Plan för genomförande av intern kontroll Bilaga 3 Kontinuitetsplan med rutiner för avbrottshantering Bilaga 4 Lista på organisationer som omfattas av denna RAPS Bilaga 5 Arkivering av privata nycklar 1.3 IDENTIFIERING De rutiner och åtaganden som följer av denna RAPS är endast tillämpliga i samband med sådana certifikat där nedanstående policy åberopas. Policynamn för CA-policy är {SE-SITHS-CA-Policy-2}. Objektidentifierare (OID) för denna policy är {1.2.752.74.1.1.2}. De rutiner och åtaganden som finns i denna RAPS är tillämpliga i samband med certifikat där nedanstående RA-policy gäller. RA-policynamn: {SE-SITHS-RA-policy-2} Objektidentifierare(OID): {1.2.752.74.1.2.2} Namn på denna RAPS är: {SE-SITHS-RAPS-SE16-2321000255} Objektidentifierare (OID) för denna RAPS är: {1.2.752.74.1.3.1.1.1} 6
1.4 RELATION TILL ÖVRIGA STYRANDE DOKUMENT CA-policy HSA-policy CPS CPS KPT DPS RA-policy RAPS Carelink dokument CA-leverantörsdokument RA:s dokument Figur 1. RAPS relation till övriga styrande dokument. CA-policy [CApolicy] publiceras av Carelink AB och är det dokument som beskriver de övergripande kraven för procedurer och rutiner som ska tillämpas vid hantering av HCC. Certification Practice Statement (CPS) [CPS] beskriver rutiner och organisation för hur CA:s driftleverantör tillämpar Carelinks CA-policy. Driftleverantören ansvarar för upprättande och publicering av CPS. RA-policy [RApolicy] publiceras av Carelink AB och är det dokument som beskriver kraven på procedurer och rutiner som ska tillämpas i RA-organisationer vid hantering av HCC. RAPS beskriver RA-organisationen och rutiner för att uppfylla de krav och förpliktelser som anges i CApolicy, CPS och RA-policy. RAPS publiceras av respektive RA-organisation. Policy för HSA [HSApolicy] publiceras av Carelink AB och är det dokument som beskriver hur en lokal katalog för aktörer inom vård och omsorg skall upprättas och underhållas för att kunna ingå i HSA. Katalogpolicytillämpning (KPT) [KPT] beskriver Region Skånes rutiner och organisation för tillämpning av HSA-policyn. Region Skåne ansvarar för upprättande och publicering av KPT. 7
1.5 RA-ORGANISATION SITHS-CA RA Verksamhetschef ORA NI LRA NI Figur 2. Roller inom RA-organisationen Region Skåne tecknar avtal med SITHS CA om rätt att utnyttja HCC. I avtalet åtar sig Region Skåne att upprätta en organisation för beställning och återkallande av HCC, en RA-organisation. RA, Registration Authority, har det övergripande ansvaret för RA-organisationen. Verksamhetsansvarig för Region Skåne upprättar och bemannar RA och meddelar detta till SITHS CA. RA upprättar och bemannar ORA, Organisation Registration Authority, och LRA, Local Registration Authority. ORA/LRA ansvarar för hanteringen av HCC inom sin del av RA-organisationen. LRA utfärdar HCC till nyckelinnehavare (NI), som kan vara personer, funktioner och organisationer. HCC för personer kan tilldelas anställda inom Region Skåne eller till personer som utför uppdrag åt Region Skåne. Region Skånes RA-organisation framgår av bilaga 4. 1.6 NYCKELINNEHAVARE OCH CERTIFIKATSTYPER Tabellen nedan visar vilka typer av nyckelinnehavare och certifikatstyper som finns inom RAorganisationen. Typ av nyckelinnehavare (NI) Certifikatstyp Certifikatsform Person med IDC Person HCC Sekundärcertifikat Person utan svenskt personnummer Person HCC Primärcertifikat Person utan IDC (reservkort) Person HCC Primärcertifikat Organisation Organisation HCC Primärcertifikat Organisationsenhet Organisation HCC Primärcertifikat Verksamhetsfunktion Funktion HCC Primärcertifikat System eller tjänst Funktion HCC Primärcertifikat Personer, funktioner och organisationer finns upplagda som objekt i HSA med den kvalitet som anges i Carelinks HSA-policy [HSApolicy]. Detta är en förutsättning för att kunna ge ut HCC för personer, funktioner och organisationer. 8
1.6.1 PERSON HCC Person HCC utfärdas till fysisk person anställd inom Region Skåne. Person HCC kan utfärdas till personer inom en organisation som har avtal med Region Skåne och till personer som utför uppdrag åt Region Skåne. Person HCC lagras i HSA och om så önskas på eid-kortet. Utfärdande av Person HCC kräver att personen har ett personligt eid-kort. 1.6.2 TIDSBEGRÄNSAT PERSON HCC Tidsbegränsat Person HCC kan utfärdas på reservkort till person som saknar svenskt personnummer. Person som inte har svenskt personnummer måste vara anställd inom Region Skåne, inom en organisation som har avtal med Region Skåne eller utföra uppdrag åt Region Skåne. Giltighetstid för tillfälligt certifikat, på reservkort, för personer utan svenskt personnummer sätts utifrån behov, dock till maximalt 6 månader. Tidsbegränsat Person HCC lagras i HSA och om så önskas på reservkortet. 1.6.3 TILLFÄLLIGT PERSON HCC Tillfälligt Person HCC kan utfärdas på reservkort till person anställd inom Region Skåne, till person inom en organisation som har avtal med Region Skåne eller till person som utför uppdrag åt Region Skåne. Giltighetstid för tillfälligt certifikat, på reservkort, sätts utifrån behov, dock till maximalt 4 veckor. Tillfälligt Person HCC lagras i HSA och om så önskas på reservkortet. 1.6.4 ORGANISATION HCC Organisation HCC utfärdas till en organisationsenhet inom Region Skåne eller till en organisation som har avtal med Region Skåne. 1.6.5 FUNKTION HCC Funktion HCC utfärdas till funktion inom Region Skåne eller funktion inom organisation som har avtal med Region Skåne. Funktionen kan vara en verksamhetsfunktion, en tjänst eller ett system. 1.7 KONTAKTUPPGIFTER Frågor angående denna RAPS adresseras till: RA funktionen Adress: Region Skåne 291 89 Kristianstad E-post: RAfunktionen@skane.se 9
2 ALLMÄNNA VILLKOR 2.1 FÖRPLIKTELSER OCH ÅTAGANDEN Möjlighet till ställföreträdande personer finns på alla nivåer i RA-organisationen. 2.1.1 REGION SKÅNE SITHS-CA Region Skåne ansvarar för att upprätta avtal med SITHS CA och utse RA samt ställföreträdande RA. Då RA slutar sitt uppdrag meddelar Region Skåne detta till SITHS CA inom skälig tid. Behörigheter för RA tas då bort. 2.1.2 RA SITHS-CA RA har det övergripande ansvaret för Region Skånes RA-organisation. RA ansvarar för att Region Skånes RA-organisation, inklusive annan uppdragstagare som eventuellt ingår, följer CA-policy, RA-policy och denna RAPS. RA ansvarar för att RAPS tas fram samt uppdateras vid förändringar i CA-policy, RApolicy och i den egna organisationen. Enligt bestämmelser reglerade i SITHS CA:s CPS, utser RA behöriga ORA/LRA personer och tilldelar åtkomsträttigheter i SITHS CA:s behörighetssystem. 2.1.3 RA ORA RA utser ORA i RA-organisationen, ger behörighet och ansvarar för att dessa personer utbildas i gällande rutiner. ORA utses i samråd med respektive verksamhetsansvarig och ansvarar, inom sitt ORA-område, för att RAPS tillämpas. RA har en förteckning över behöriga ORA personer i organisationen. Då en ORA slutar sitt uppdrag meddelar verksamhetsansvarig inom ORA-området detta till RA inom skälig tid och behörigheter för ORA tas bort. 2.1.4 RA OCH ORA LRA RA, ORA utser LRA i RA-organisationen, ger behörighet och ansvarar för att dessa personer utbildas i gällande rutiner. LRA utses i samråd med respektive verksamhetsansvarig och ansvarar, inom sitt LRAområde, för att RAPS tillämpas. RA/ORA har en förteckning på behöriga LRA personer inom det egna ansvarsområdet, och LRA-områdena är klart definierade. Då en LRA slutar sitt uppdrag meddelar verksamhetsansvarig inom LRA-området detta till RA/ORA inom skälig tid och behörigheter för LRA tas bort. 2.1.5 LRA NI LRA ansvarar för att beställa HCC och för att begära spärrning av HCC enligt denna RAPS. LRA tillser att relevant information, bland annat rutiner vid spärrning och felanmälan, ges till NI. Då en förändring sker, som påverkar certifikatsinnehållet, eller då NI slutar sitt uppdrag, ansvarar verksamhetsansvarig (med ansvar för NI) för att LRA meddelas snarast så att HCC kan spärras och eventuellt nytt HCC kan utfärdas. Vid nyanställning, förändring av anställning och vid avslut av anställning ska den funktion som handlägger ärendet snarast meddela LRA-personen detta så att certifikat kan beställas eller spärras. Om NI inte har kontroll över eid-kortet, eller tillhörande PIN- och PUK-koder, kontaktas LRA. Motsvarande gäller för tilldelat reservkort. 2.1.6 LRA BEHÖRIG REPRESENTANT LRA ansvarar för att beställa Organisation HCC/Funktion HCC och för att begära spärrning av dessa HCC enligt denna RAPS. LRA ser till att relevant information, bl a rutiner vid spärrning och felanmälning, ges till den behöriga representanten. LRA har en förteckning över alla behöriga representanter och dess ansvar inom det egna LRA-området. Då en förändring sker, som påverkar certifikatsinnehållet, eller då den behöriga representanten slutar sitt uppdrag, ansvarar verksamhetsansvarig (med ansvar för den behöriga representanten) för att LRA meddelas snarast så att HCC kan spärras och eventuellt nytt HCC kan utfärdas. 10
Om behörig representant inte har kontroll över PIN- och PUK-koder eller då den privata nyckeln associerad med Organisation HCC/Funktion HCC misstänks vara röjd, kontaktas LRA. 2.1.7 MISSBRUK AV CERTIFIKAT Om missbruk av certifikat upptäcks ska detta hanteras i enlighet med bilaga 1. 2.2 FRISKRIVNING FRÅN ANSVAR Region Skåne och personer inom Region Skånes RA-organisation ansvarar inte för följder av: att någon nyckel ändras på otillbörligt sätt att NI använder certifikat på otillbörligt sätt felaktigheter i CA:s certifikatsutfärdande. 2.3 REVISION 2.3.1 EXTERN KONTROLL SITHS CA har rätt att revidera ansluten RA-organisation och meddelar skriftligen RA-organisationen om detta. 2.3.2 INTERN KONTROLL Intern kontroll genomförs löpande för att tillse att denna RAPS och motsvarande RA-policy efterlevs inom Region Skåne. Den interna kontrollen görs enligt samverkansavtal. Plan för genomförande av intern kontroll baserad på riskanalysen finns i bilaga 2. 2.4 KONFIDENTIALITET Frågor om konfidentialitet beträffande uppgifter om den hälso- och sjukvårdspersonal för vilka certifikat utfärdas regleras av bl a, tryckfrihetsförordningen, sekretesslagen och lagen om yrkesverksamma inom hälso- och sjukvårdsområdet (LYHS). RAPS tillämpas så att gällande lag om konfidentialitet uppfylls. 11
3 RUTINER FÖR IDENTIFIERING 3.1 PERSON HCC 3.1.1 IDENTIFIERING VID BESTÄLLNING AV PERSON HCC Inom RA-organisationen krävs, vid initial beställning och när man efter en kortförlust har ett nytt eidkort, personlig närvaro av NI med ett giltigt eid-kort med primärt identitetscertifikat (IDC). Vid nästkommande beställning av Person HCC krävs inte personlig närvaro av NI som har ett giltigt HCC. Vid beställning av reservkort måste den anställde inställa sig personligen hos LRA för identitetskontroll. Identifiering av NI sker genom giltig och SIS godkänd (eller motsvarande) legitimation eller genom personlig kännedom av LRA eller alternativt genom att annan känd person inom organisationen skriftligen kan gå i god för NI:s identitet. Sättet som NI identifieras på dokumenteras av LRA. 3.1.2 IDENTIFIERING VID SPÄRRNING AV PERSON HCC Då RA/ORA/LRA via CA begär spärrning av Person HCC identifierar sig RA/ORA/LRA elektroniskt med hjälp av sitt HCC mot SITHS CA. Då en nyckelinnehavare, NI, begär spärrning, via RA/ORA/LRA, av sitt certifikat identifieras NI enligt ett av följande alternativ: 1. Av NI signerad elektronisk beställning. 2. Personlig närvaro av NI med giltig och SIS godkänd eller motsvarande legitimation. 3. RA/ORA/LRA har personlig kännedom om NI och går i god för NI:s identitet. 4. Som reservrutin, om det misstänks föreligga risk för missbruk av en privat nyckel, associerad med ett certifikat, kan en förenklad form av identifiering göras. Detta görs genom motringning och/eller genom att ställa kontrollfrågor. Verksamhetsansvarig för LRA-området kan begära spärrning, via RA/ORA/LRA, av annans certifikat och identifieras då enligt ett av följande alternativ: 1. Signerad elektronisk beställning av verksamhetsansvarig. 2. Personlig närvaro av verksamhetsansvarig med giltig och SIS godkänd eller motsvarande legitimation. Verksamhetsansvarig går skriftligen i god för NI:s identitet och att NI:s certifikat skall spärras. Metod för identifiering dokumenteras enligt avsnitt 4.5.3 LRA. 3.2 ORGANISATION HCC OCH FUNKTION HCC 3.2.1 IDENTIFIERING VID BESTÄLLNING AV ORGANISATION HCC OCH FUNKTION HCC Vid utfärdande av Organisation HCC och Funktion HCC sker alltid identifiering genom personlig närvaro av behörig representant med uppvisande av giltigt eid-kort. 3.2.2 IDENTIFIERING VID SPÄRRNING AV ORGANISATION HCC OCH FUNKTION HCC Vid spärrning av Organisation HCC och Funktion HCC sker identifiering enligt någon av punkterna 1-4 i avsnittet 3.1.2 Identifiering vid spärrning av Person HCC. 12
4 RUTINER FÖR CERTIFIKATSHANTERING 4.1 BESLUT OM TILLDELNING AV HCC Verksamhetsansvariga inom respektive LRA-område beslutar om tilldelning av HCC inom sitt ansvarsområde. Verksamhetsansvarig ansvarar för att det finns rutiner för anskaffning av eid-kort, om sådant saknas. 4.2 BESTÄLLNING AV HCC 4.2.1 PERSON HCC 1. Personen identifieras enligt avsnitt 3.1.1 Identifiering vid beställning av Person HCC. 2. LRA förvissar sig om att NI har uppdrag inom det egna LRA-området samt att uppgifterna som ska ingå i HCC är korrekta. LRA kontrollerar att innehållet i NI:s medborgarcertifikat eller innehållet på NI:s SIS-godkända eid-kort stämmer med individens uppgifter i HSA. 3. LRA beställer HCC från CA. 4. CA kontrollerar att medborgarcertifikatet är giltigt. 5. CA publicerar HCC i HSA. 4.2.2 TIDSBEGRÄNSAT PERSON HCC Observera att Person HCC på reservkort inte ställs ut till RA/ORA/LRA. Se i övrigt avsnitt 1.6.2 Tidsbegränsat Person HCC. 1. Personen identifieras enligt avsnitt 3.1.1 Identifiering vid beställning av Person HCC. 2. LRA förvissar sig om att NI finns inom det egna LRA-området samt att uppgifterna som ska ingå i HCC är korrekta. LRA kontrollerar att innehållet på NI:s legitimationshandling stämmer med NI:s uppgifter i HSA. 3. LRA beställer HCC från CA med giltighetstid enligt avsnitt 1.6.2 Tidsbegränsat Person HCC. 4. CA kontrollerar att reservkortet är giltigt. 5. LRA arkiverar information om valt reservkort och identifieringsmetod. 6. CA publicerar HCC i HSA. Mottagande av koder och nycklar sker enligt avsnitt 6.1 Utlämnande av privat nyckel. 4.2.3 TILLFÄLLIGT PERSON HCC Observera att Person HCC på reservkort inte ställs ut till RA/ORA/LRA. Se i övrigt avsnitt 1.6.23 Tillfälligt Person HCC. 1. Personen identifieras enligt avsnitt 3.1.1 Identifiering vid beställning av Person HCC. 2. LRA förvissar sig om att NI finns inom det egna LRA-området samt att uppgifterna som ska ingå i HCC är korrekta. LRA kontrollerar att innehållet på NI:s legitimationshandling stämmer med NI:s uppgifter i HSA. 3. LRA beställer HCC från CA med giltighetstid enligt avsnitt 1.6.3 Tillfälligt Person HCC. 4. CA kontrollerar att reservkortet är giltigt. 5. LRA arkiverar information om valt reservkort och identifieringsmetod. 6. CA publicerar HCC i HSA. Mottagande av koder och nycklar sker enligt avsnitt 6.1 Utlämnande av privat nyckel. 13
4.2.4 ORGANISATION OCH FUNKTION HCC 1. Behörig representant infinner sig personligen och legitimerar sig med eid-kort. 2. LRA kontrollerar att representanten är behörig beställare av Organisation HCC/Funktion HCC enligt överenskommelse med verksamhetsansvarig samt att behörig representant finns upplagd i HSA på rätt nivå och med rätt uppgifter. 3. LRA beställer Organisation HCC/Funktion HCC och anger behörig representants e-postadress. 4. CA genererar HCC och nyckelpar. Därefter skickar CA PKCS#12 objekt med HCC och privata nycklar till LRA. LRA sparar ner PKCS#12 objektet med HCC och privata nycklar på en diskett och överlämnar detta till den behöriga representanten. 5. CA skickar lösenord för PKCS#12 objekt och PIN-koder via krypterat e-brev till behörig representants e-postadress. 6. LRA arkiverar uppgifter om utlämnandet av HCC. Mottagande av koder och nycklar sker enligt avsnitt 6.1 Utlämnande av privat nyckel. 4.3 SPÄRRNING AV HCC 4.3.1 GODKÄNDA ANLEDNINGAR TILL SPÄRR HCC spärras då: förhållanden har ändrats för NI och det påverkar certifikatsinnehållet, någon uppgift i HCC är eller misstänks vara felaktig, NI har tappat kontrollen över kortet eller koden, NI:s medborgarcertifikat har blivit spärrat eller då NI:s medborgarcertifikat inte är tillgängligt för NI (kortförlust). 4.3.2 UNDANTAG Om NI inte har tillgång till eid-kortet, men säger sig komma att få tillgång till detta snart igen, samtidigt som NI garanterar att ingen obehörig kan använda de på eid-kortet lagrade privata nycklarna, kan LRA välja att inte spärra HCC. 4.3.3 SPÄRRBEGÄRAN Följande roller kan begära spärrning av HCC via RA/ORA/LRA: NI kan av RA/ORA/LRA begära spärrning av sitt eget HCC. Verksamhetsansvarig kan av LRA begära spärrning av HCC inom egen organisation. Behörig representant kan av RA/ORA/LRA begära spärrning av det Organisation HCC eller Funktion HCC som representanten ansvarar för. RA/ORA/LRA kan begära spärrning av HCC inom det egna ansvarsområdet. 4.3.4 SPÄRRNING Följande roller kan utföra spärr av HCC via CA: RA kan spärra HCC hos CA inom eget RA-område. ORA kan spärra HCC hos CA inom eget ORA-område. LRA kan spärra HCC hos CA inom eget LRA-område. 14
4.4 RESERVKORTSHANTERING Reservkort med tillhörande PIN- och PUK-koder ska skyddas enligt avsnitt 5.1 Fysisk säkerhet. RA/ORA ansvarar för att RA-organisationen har säkra rutiner för beställning, distribution och förvaring av reservkort. Vid återlämnande av använt reservkort ska LRA spärra tillhörande HCC och låsa reservkortet. Därefter ska reservkortet klippas eller återsändas till leverantör för formatering. Om kortet återsänds till leverantör ansvarar RA/ORA för att detta sker enligt säkra rutiner. 4.5 ARKIVERING 4.5.1 RA RA ansvarar för att följande arkiveras: RA-avtal mot SITHS CA. Godkänd RAPS. Förteckning av utsedd RA och dess ställföreträdande, inklusive historik. Förteckning av utsedda ORA personer och ställföreträdande samt deras områden, inklusive historik.. Där ORA personer inte förekommer ansvarar RA för förteckning av utsedda LRA personer och dess ställföreträdande samt deras områden, inklusive historik. Förteckning över avtal med andra parter, inklusive historik. 4.5.2 ORA ORA ansvarar för att förteckning av utsedda LRA personer och ställföreträdande samt deras områden, inklusive historik arkiveras. 4.5.3 LRA LRA ansvarar för att följande arkiveras: Lista över behöriga representanter och deras ansvarsområden. Uppgifter vid utfärdande av Organisation HCC och Funktion HCC, t ex identitet på behörig representant och tidpunkt för utlämnandet av PKCS#12 objekt. Uppgifter i samband med spärrning av HCC och/eller förlust av eid-kort, t ex identitet på personen som begärde spärrningen och metoden för identifieringen, liksom anledningen till en eventuell förenkling av identifieringsproceduren. Uppgifter om utlämnade och återlämnade reservkort samt åtgärder som vidtas efter att ett använt reservkort har återlämnats. 15
4.6 AVBROTTSHANTERING OCH AVVECKLING 4.6.1 RUTINER FÖR AVBROTTSHANTERING I händelse av att man inte kan lita på HCC, ge ut HCC eller inte komma åt spärrlistor för HCC följs kontinuitetsplan med rutiner för avbrottshantering. Kontinuitetsplan med rutiner för avbrottshantering för Region Skåne finns i bilaga 3. 4.6.2 AVVECKLING AV RA-ORGANISATION Vid avveckling av RA-organisation åligger det Region Skåne att avveckla RA-organisationen enligt följande procedur: Specifikt informera alla nyckelinnehavare och alla parter som Region Skåne har avtal och/eller överenskommelser med. Avsluta åtagande och behörigheter för RA-organisationen. Tillse att alla arkiv och loggar bevaras/överlämnas enlighet gällande anvisningar inom Region Skåne. Vid upphörande av ett ORA/LRA-område åligger det RA/ORA att avveckla berörd del av organisationen enligt följande procedur: Specifikt informera alla nyckelinnehavare och alla parter som ORA har avtal och/eller överenskommelser med. Avsluta åtagande och behörigheter för ORA/LRA-organisationen. Tillse att alla arkiv och loggar bevaras/överlämnas enligt gällande anvisningar inom Region Skåne. 16
5 FYSISK OCH PERSONALORIENTERAD SÄKERHET 5.1 FYSISK SÄKERHET Vid utlämnande av nycklar och koder beaktas den fysiska säkerheten. LRA-arbetsplatsen skall finnas i låsbart utrymme med låsbara skåp för förvaring av arkivmaterial enligt avsnitt 4.4 Reservkortshantering och enligt avsnitt 4.5 Arkivering. Då RA/ORA/LRA lämnar arbetsplatsen lämnas inte eid-kort kvar. PIN- och PUK-koder förvaras så att inte obehörig får tillgång till dessa. Koderna förvaras på fysiskt åtskilda ställen. Arkivmaterial samt reservkort med PIN- och PUK-koder förvaras inlåst i skåp. 5.2 PERSONALORIENTERAD SÄKERHET RA/ORA och LRA-personer utses enligt avsnitt 2.1 Förpliktelser och åtaganden. Dessa personer har inte annat uppdrag som kan bedömas stå i konflikt med uppdraget. Alla ORA/LRA-personer har genomgått utbildning för att fullgöra sina arbetsuppgifter på ett säkert sätt. Utbildning av ORA/LRA-personer genomförs regelbundet inom RA-organisationen. 17
6 TEKNIKORIENTERAD SÄKERHET 6.1 UTLÄMNANDE AV PRIVAT NYCKEL 6.1.1 UTLÄMNANDE AV PRIVAT NYCKEL VID UTLÄMNANDE AV RESERVKORT Nycklar och koder utlämnas av LRA till NI sedan denne identifierat sig i enlighet med kapitel 3 Rutiner för identifiering. Mottagande av nycklar och koder kvitteras av NI. Kvittens ska sparas enligt gällande arkiveringsregler enligt avsnitt 5.1 Fysisk säkerhet. NI skall i samband med kvitteringen i LRA:s närvaro ändra koderna för autenticering och signering, dock på ett sådant sätt att LRA ej tar del av de nya koderna. 6.1.2 UTLÄMNANDE AV PRIVAT NYCKEL I SAMBAND MED UTFÄRDANDE AV ORGANISATION HCC OCH FUNKTION HCC Nycklar och koder utlämnas av LRA till behörig representant för NI, sedan denne identifierat sig i enlighet med kapitel 3 Rutiner för identifiering. Mottagande av P12-certifikaten kvitteras av den behöriga representanten. Kvittens ska sparas enligt gällande arkiveringsregler enligt avsnitt 5.1 Fysisk säkerhet. Den behöriga representanten ska förvara nycklar och koder på fysiskt åtskilda platser och på ett säkert och skyddat sätt. 6.2 SKYDD AV PRIVAT NYCKEL För privata nycklar tillhörande Funktion HCC eller Organisation HCC gäller att de förvaras och distribueras på ett säkert och skyddat sätt så att de inte faller i orätta händer samt att de inte i något fall exponeras eller brukas på otillbörligt sätt, innan de nått rätt mottagare. 6.3 ARKIVERING AV PRIVATA NYCKLAR Inga privata nycklar tillhörande Person HCC arkiveras inom RA-organisationen. Privata nycklar tillhörande Organisation HCC eller Funktion HCC får endast arkiveras för backupändamål. Om sådan arkivering sker skall den göras enligt rutin i bilaga 5. 6.4 PROCEDURER FÖR SÄKERHETSREVISION 6.4.1 LOGGNING Loggning av CA-aktiviteter sker hos SITHS-CA:s leverantör av CA-tjänster. Loggning sker också lokalt inom RA-organisationen. CA-leverantörens loggar är av två slag, systemloggar samt loggar över RAoperationer. Den senare typen av logg sker så att spårbarhet i processerna rörande utgivning och återkallande av tjänstecertifikat uppnås. Spårbarhet finns av vem som utfärdat/beställt ett certifikat, med vilka uppgifter och när. De lokala loggarna är också av två slag, manuellt förd administrativ dokumentation samt systemloggar på operativsystemnivå. Se nedan Figur 3. Alla RA/ORA/LRA har tillgång till sin egen del av loggen över RA-operationer. Denna måste regelbundet sparas av RA-organisationen och göras tillgänglig för revision. CA skickar en gång i månaden till Region Skåne hela loggen i textformat. RA ansvarar för att denna arkiveras. 18
CA-leverantör -systemlogg - RA logg Carelink reviderar RA-organisation reviderar LRA arbetsplats logg på OS-nivå adm dok manuella rutiner Figur 3. Loggar på olika nivåer Vad som sägs om loggar i avsnitt 6.4.2 6.4.3 nedan avser både den lokala delen av CA-leverantörens logg över utförda RA-operationer och den lokala manuellt förda loggen. 6.4.2 ANALYS AV LOGG Verksamhetsansvarig eller annan utsedd person som inte utfärdar certifikat ska regelbundet dock minst 4 gång/år analysera loggen som genererats vid LRA-arbetsplatsen enligt ovan. Loggarna analyseras för upptäckt av obehöriga aktiviteter. 6.4.3 BEVARANDETID FÖR LOGG Loggarna bevaras i minst 10 år i RA-organisationen och överlämnas därefter till arkivmyndigheten för arkivering och gallring enligt bestämmelserna inom Region Skåne. 19
7 REFERERADE DOKUMENT [CApolicy] SITHS. Certifikatpolicy för utfärdande utgivande av certifikat inom vård och omsorg. Version 2003-03-01. Carelink. www.carelink.se/files/doc_2002919130203.pdf [CPS] Certification Practice Statement. Utfärdande av HCC. SITHS-CA. Version 0.11. Steria AB, 2002. [RApolicy] SITHS. RA-policy för utfärdande utgivande av certifikat inom vård och omsorg. Version 2003-03-01. Carelink. www.carelink.se/files/142008_1984_ra_policy.pdf [HCC] Certifikat för svensk vård och omsorg. HCC. Version 1A. Carelink 2002-12-13. www.carelink.se/files/doc_2002920104124.pdf [HSA] Hälso- och sjukvårdens adressregister över enheter och personal för kommunikationstjänster. HSA-X.500, modell, struktur, krav, innehåll samt egna objekt och attribut. HSA-specifikation. Slutlig utgåva. Version 1.3, 1999-04-15. [HSApolicy] Policy för elektronisk katalog inom svensk vård och omsorg. Version 1 2001-08-31. Carelink. www.carelink.se/files/133423_carelink_dir_policy_version_1.pdf [KPT] Katalogpolicytillämpning. 20
Bilaga 1. RUTINER VID MISSBRUK AV CERTIFIKAT Vid misstanke om att HC-certifikat missbrukas kontaktas berörd verksamhetsansvarig. När verksamhetsansvarig fått vetskap om misstänkt missbruk ansvarar denne för att ärendet handläggs skyndsamt. Verksamhetsansvarig utreder om missbruk föreligger. Om missbruk föreligger ska NI delges att HC-certifikatet spärras. Verksamhetsansvarig begär spärrning av HC-certifikat hos LRA. Bilaga 2. PLAN FÖR GENOMFÖRANDE AV INTERN KONTROLL Riskanalys En riskanalys har utförts avseende momenten Identifiering enligt avsnitten 3.1.1 och 3.1.2 och rutiner för certifikatshantering enligt avsnitten 4.1, 4.2, 4.3, och 4.4 samt Säkerhet enligt kapitlen 5 och 6. Intern kontroll utförs enligt samverkansavtal och ska omfatta ovanstående punkter. En revision av rutinerna för certifikatsutgivning kommer att genomföras ca 6 månader efter drifttagandet. Bilaga 3. KONTINUITETSPLAN MED RUTINER FÖR AVBROTTSHANTERING Se bilagan (sidan 22). Bilaga 4. LISTA PÅ ORGANISATIONER SOM OMFATTAS AV DENNA RAPS Se bilaga (sidan 23). Bilaga 5. RUTIN FÖR ARKIVERING AV PRIVATA NYCKLAR Backuper, på servers innehållande Funktion/Organisation HCC, ska förvaras på ett säkert och skyddat sätt så att dessa inte faller i orätta händer och därmed medger att privata nycklar (och PIN-koder) exponeras eller brukas på otillbörligt sätt. Backupversioner märks upp och deras kretslopp från backup, arkiv, återanvändning/destruktion ska dokumenteras (loggas) och kunna uppvisas vid revision. Destruktion av backupmedia ska ske under betryggande och övervakade former. Byte av nycklar ska göras regelbundet enligt policy. 21
Bilaga 3 Kontinuitetsplan med rutiner för avbrottshantering Beställa och utföra spärrning av certifikat Meddelande från CA systemet och HSA-toppnod går ut till helpdesk inom Region Skåne ORA informeras på lämpligt sätt ex via e-post, telefon mm. ORA informerar på lämpligt sätt de LRA personer som de har utsett. Informationen ska gå ut snarast efter att ett avbrott skett. Interna avbrott inom Region Skåne går till helpdesk inom Region Skåne ORA informeras på lämpligt sätt ex via e-post, telefon osv. ORA informerar på lämpligt sätt de LRA personer som de har utsett. Informationen ska gå ut snarast efter att ett avbrott skett. Är avbrottet av den arten att CA systemet och/eller HSA-toppnoden måste informeras sker detta på lämpligt sätt ex via e-post, telefon osv. Del av applikationer som använder certifikat och spärrlista Applikationerna måste klassas efter vilken vikt de har i organisationen. Beroende på vilken klass de har så ska olika åtgärder göras. Klass 1 Akut. Åtgärd: Spärrar måste kunna forceras. Klass 2 Snarast nödvändigt. Åtgärd: CA:s eller lokala reservrutiner för spärrning ska utnyttjas. Klass 3 Ej tidskritiskt. Åtgärd: När ytterligare tillämpningar av certifikat tas i bruk i Region Skåne utformas närmare rutiner för avbrottshantering. 22
Bilaga 4 RA-organisation i Region Skåne RA-område Region Skåne RA-personer Britt Lagerlund Kerstin Hörstedt ORA-område Universitetssjukhuset i Lund Distriktsnämndens kansli i Mellersta Skånes sjukvårdsdistrikt Universitetssjukhuset MAS Distriktsnämndens kansli i Sydvästra sjukvårdsdistriktet Centralsjukhuset Kristianstad Distriktsnämndens kansli i Nordöstra sjukvårdsdistriktet Lasarettet i Landskrona Lasarettet Trelleborg Lasarettet i Ystad Ängelholms sjukhus Helsingborgs Lasarett Hässleholms sjukhusorganisation Psykiatrin Nordvästra Skåne Förtroendemannaorganisation Administrativ ledning Distriktsnämndens kansli i För varje ORA område utses en ORA person För varje ORA område utses minst en LRA-person 23
Ystad-Österlen Distriktsnämndens kansli i Nordvästra Skåne Tandvårdsnämndens kansli Förtroendenämnden Näringslivsutveckling Inward Investment Ambulans Katastrof och Beredskapsförvaltningen Kultur i Skåne Planering och miljö Smittskydd Skåne Primärvården Skåne Folktandvården Skåne Habilitering och Hjälpmedel 24
Region Skåne J A Hedlunds väg 291 89 KRISTIANSTAD