Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

PGSSI-S - Politique générale de sécurité des systèmes d’information de santé Gu

PGSSI-S - Politique générale de sécurité des systèmes d’information de santé Guide gestion des habilitations d’accès au SI V 1.0 ASIP Santé PGSSI-S – Guide Gestion des habilitations d’accès au SI Classification : Public 2 / 59 Sommaire 1 INTRODUCTION........................................................................................................................................ 3 1.1 OBJET DU DOCUMENT ................................................................................................................................. 3 1.2 CHAMP D’APPLICATION DU GUIDE .................................................................................................................. 4 1.3 DEFINITIONS .............................................................................................................................................. 5 1.4 ENJEUX RELATIFS A LA GESTION DES HABILITATIONS ........................................................................................... 9 2 PRINCIPES .............................................................................................................................................. 11 2.1 LES DIFFERENTES MANIERES DE GERER LES HABILITATIONS ................................................................................. 11 2.2 GESTION DES HABILITATIONS DANS LE TEMPS ................................................................................................. 17 3 UTILISATION DU GUIDE .......................................................................................................................... 18 4 REGLES DE SECURITE .............................................................................................................................. 19 4.1 PREREQUIS .............................................................................................................................................. 19 4.2 FORMALISATION DU PROCESSUS DE GESTION ET D’ATTRIBUTION DES HABILITATIONS .............................................. 20 4.3 MISE EN ŒUVRE DES DROITS D’ACCES AU SEIN DU SI ........................................................................................ 23 4.4 LIEN AVEC LES AUTRES FONCTIONS DE SECURITE .............................................................................................. 25 4.5 GESTION DANS LE TEMPS ............................................................................................................................ 25 ANNEXE 1 : MODELES DE FICHES DE DEFINITION DES HABILITATIONS ET AUTORISATIONS ............................ 27 FICHE N°1 : « CADRE GENERAL DE GESTION DES HABILITATIONS » ................................................................................... 27 FICHE N°2 : « GESTION DES HABILITATIONS PAR ENSEMBLES DES RESSOURCES » ................................................................ 31 ANNEXE 2 : EXEMPLES DE FICHES DE DEFINITION DES HABILITATIONS ET AUTORISATIONS ........................... 35 EXEMPLE DE FICHE N°1 : « CADRE GENERAL DE GESTION DES HABILITATIONS » .................................................................. 35 EXEMPLE DE FICHE N°2 : « GESTION DES HABILITATIONS PAR ENSEMBLES DES RESSOURCES » ............................................... 43 ANNEXE 3 : RAPPEL SUR LE DEROULEMENT TECHNIQUE D’UN ACCES AU SI ................................................... 46 PREMIERS PREALABLES : IDENTIFICATION ET AUTHENTIFICATION ...................................................................................... 47 SECOND PREALABLE : DETERMINATION DES DROITS D’ACCES .......................................................................................... 48 DECISION D’AUTORISATION OU NON DE L’ACCES DEMANDE ............................................................................................ 49 ACCES EFFECTIF A LA RESSOURCE ............................................................................................................................... 49 TRACES ................................................................................................................................................................ 49 ANNEXE 4 : MODELES DE GESTION DES HABILITATIONS ................................................................................. 50 ANNEXE 5 : QUELQUES ACRONYMES QUI NE CORRESPONDENT PAS A DES MODELES DE GESTION DES HABILITATIONS .............................................................................................................................................. 55 ANNEXE 6 : GLOSSAIRE ................................................................................................................................... 57 ANNEXE 7 : DOCUMENTS DE REFERENCE ....................................................................................................... 58 ASIP Santé PGSSI-S – Guide Gestion des habilitations d’accès au SI Classification : Public 3 / 59 1 Introduction 1.1 Objet du document La gestion des habilitations a pour finalités de protéger l’accès aux ressources du système d’information (SI) et de permettre de retrouver a posteriori qui était habilité à quoi. Ce guide présente les concepts, principes et modalités de gestion des habilitations qui conditionnent les accès au SI afin de répondre aux exigences de maîtrise des accès aux informations et aux traitements fixées par la Politique de Sécurité du Système d’Information (PSSI) de la structure. Ce document fait partie des guides pratiques spécifiques de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S). Figure 1 : Organisation du Corpus documentaire de la PGSSI-S Ce document s’adresse : • aux responsables de structure utilisatrice de SI ; • aux responsables de traitements informatiques assurés par le SI ; • aux personnes agissant sous leur responsabilité, et en particulier celles impliquées dans : o la définition de la politique de sécurité des SI et sa mise en œuvre au sein de la structure, o la définition des politiques d’habilitation et de contrôle d’accès au SI, o la définition des exigences et des mécanismes de sécurité dans les cahiers des charges de produits à acquérir ou de développements à réaliser par la structure, o la mise en œuvre et le suivi opérationnel des contrôles d’accès au SI ; ASIP Santé PGSSI-S – Guide Gestion des habilitations d’accès au SI Classification : Public 4 / 59 • aux fournisseurs de produits ou de services utilisés dans le cadre de systèmes d’information de santé. En effet, il est recommandé que les solutions proposées par ces fournisseurs soient cohérentes avec les principes exposés dans le présent guide. 1.2 Champ d’application du guide Dans le cadre de ce guide, tous les contextes de systèmes d’information de santé (SIS) au sens des « Principes fondateurs de la PGSSI-S » sont concernés quelles que soient les finalités du SIS (production de soin, recherche …), le mode d’exercice (professionnel de santé en exercice libéral, établissement de santé…) et les étapes du cycle de vie de la donnée (conservation, échange/partage, …). Le cartouche ci-après présente de manière synthétique le champ d’application du document. Santé Médico Social Production des soins Fonctions supports à la production de soins Coordination des soins Veille sanitaire Etudes et recherche Dépistage et prévention Commentaire Applicabilité du guide aux différentes composantes techniques du SI Le guide s’applique à la gestion des habilitations pour l’accès aux informations et fonctions informatiques ainsi que pour l’accès physique aux locaux et aux équipements. Applicabilité du guide à différents types d’acteurs Le guide s’applique à la gestion des habilitations pour les accès réalisées aussi bien par des personnes physiques que par des composants de SI (logiciels, dispositifs biomédicaux connectés…) agissant pour le compte de personnes physiques ou morales. ASIP Santé PGSSI-S – Guide Gestion des habilitations d’accès au SI Classification : Public 5 / 59 1.3 Définitions Les encadrés illustrés par le pictogramme proposent des informations complémentaires sur le sujet traité. Ceux illustrés par le pictogramme constituent des notes ou remarques. Les documents sur lesquels se base ce guide ou qui sont cités en référence sont listés en Annexe 7 « Documents de référence ». Les définitions ci-dessous sont données dans le contexte de la Politique Générale de Sécurité des Systèmes d’Information de Santé (Référentiels et guides pratique du corpus documentaire PGSSI-S [Réf. n°1]). Ces différents termes sont utilisés dans la suite du document. Système d’information (SI) Au-delà des systèmes informatiques, le terme « Systèmes d’Information » correspond à l’ensemble des ressources (les hommes, le matériel, les logiciels) organisées pour collecter, stocker, traiter et communiquer de l’information au sein même d’une organisation et dans ses relations avec l’extérieur. (Source : PSSI-MCAS - Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales [Réf. n°6]) Ressources du SI Le terme « ressource du SI » utilisé dans ce guide se limite aux aspects non humains du SI par rapport à la définition de ressource incluse dans la définition du SI ci- dessus. Ainsi, dans ce guide, les ressources du SI peuvent être, par exemple : • les moyens techniques d’infrastructure nécessaires à la mise en œuvre et au fonctionnement du SI : locaux, alimentation électrique, câblage réseau, climatisation,… • les moyens de télécommunication : liaisons de télécommunication, centraux téléphoniques, téléphones, antennes… • les moyens informatiques matériels : serveurs, postes de travail, équipements réseau, équipements de sécurité, lecteurs de badge… • les équipements métiers connectés au SI : équipements biomédicaux… • les moyens informatiques logiciels : systèmes d’exploitation, applications métier, applications d’administrations et de gestion de la sécurité du SI… • les informations traitées par le SI. Identification et identifiant L’identification a pour but de déterminer l’identité d’un acteur (personne physique, composant technique agissant pour le compte d’une personne morale…) via un identifiant qui lui a été attribué préalablement lors de la vérification et de l’enregistrement de ses traits d’identité. Un identifiant est un attribut donné à un acteur, en lien avec son identité, permettant de différencier deux acteurs même dans le cas où leurs traits d’identité sont similaires ou très proches. (Source : Référentiel d’identification des acteurs sanitaires et médico-sociaux [Réf. n°1.1]) Par exemple : ASIP Santé PGSSI-S – Guide Gestion des habilitations d’accès au SI Classification : Public 6 / 59 • identifiant constitué de lettres du prénom et du nom de l’utilisateur et complété par un numéro pour distinguer les homonymes « jfdupont02 » pour un usage interne à la structure (identifiant de portée locale ou « identifiant privé ») ; • identifiant numérique attribué lors de l’enregistrement d’un médecin dans référentiel d’identité national (répertoire partagé des professionnels de santé RPPS), et stocké dans sa carte de professionnel de santé (CPS) (identifiant de portée nationale ou « identifiant public ») ; • identifiant, constitué d’une chaine unique de caractères, enregistré dans le certificat électronique présenté par un serveur web lors de l’établissement de la connexion sécurisée (« https »). Authentification L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. (S’identifier consiste à communiquer une identité préalablement enregistrée, s’authentifier consiste à apporter la preuve de cette identité. L’authentification est généralement précédée d’une identification). (Source : RGS - Référentiel Général de Sécurité [Réf. n°2] §3.2.a.1) Par exemple : • authentification de l’utilisateur à l’aide d’un mot de passe connu de lui seul ; • authentification de l’utilisateur à l’aide de sa carte CPx1 et du code PIN associé connu de lui seul, permettant une authentification réalisée au niveau technique à l’aide de secrets cryptographiques et d’un certificat électronique stockés dans la carte. Le cas échéant, il peut être prévu que l’authentification (et l’identification préalable) de tout ou partie des acteurs soit réalisée par une personne morale externe à la structure. Il s’agit du cas de l’authentification indirecte et de l’authentification par délégation, décrites au chapitre 4.7 du Référentiel d’authentification des acteurs de santé [Réf. n°1.2]. Habilitation Dans uploads/Management/ pgssi-s-guide-gestion-des-habilitations-1-0.pdf