1. Om faktaarket

Faktaarket gir veiledning om passord og passordhåndtering.

Tema for faktaarket

Dette faktaarket omhandler passord og passordhåndtering, og er et støttedokument under Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) som forvaltes av Styringsgruppen for Normen etter Normens forvaltningsmodell.

Formålet med faktaarket er å gi veiledning i hvordan virksomheten kan sikre at passord som benyttes i virksomheten er underlagt tilstrekkelig sikring.

Faktaarket har en praktisk tilnærming og inneholder beste praksis knyttet til passord og passordhåndtering.

Passord benyttes fortsatt i utstrakt grad som ett av de mest brukte autentiseringskriterier for å sikre Normens krav til autentisering. Selv om passord alene ikke alltid gir tilstrekkelig sikker autentisering, er det viktig å sikre at passordene man benytter er gode og sikre, og at virksomheten har rutiner og prosedyrer for passordhåndtering. Passord skal ikke enkelt la seg misbruke, og skal håndteres på en slik måte at de ikke gjøres kjent for uvedkommende.

Faktaarket gir råd om passordpolicy basert på blant annet følgende kilder:

• Av truslene som beskrives av MITRE for dette tiltaket (Password Policies, Mitigation M1027 - Entreprise | MITRE ATT&CK(r)), så søker policyen primært å dekke området T1110 - "brute force".
• For listen hos NIST, jf. tabell 8.2 med tilhørende veiledning dekkes "offline cracking" og "online guessing".

Utvalget er basert på at veiledningsbehovet antas være størst når det gjelder krav som påvirker brukeropplevelsen. Dette omhandler hvordan passord skal utformes/velges, utestenging, nullstilling og passordbytte. Det er også tatt med forhold hvor det erfaringsmessig har vært uheldig praksis (passordlagring, krav til passordbytting).

Dette faktaarket er spesielt relevant for

Målgruppen for faktaarket er virksomheter som behandler helse- og personopplysninger. Faktaarket er relevant for alle roller i virksomheten.

Krav i Normen

Faktaarket gjelder følgende kapitler i Normen:

• kapittel 5.2.2 Autentisering

Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk

Følgende lov- og forskriftsbestemmelser, standarder og andre rammeverk er spesielt relevante for faktaarket:

• pasientjournalloven § 22. Informasjonssikkerhet (lovdata.no)
• NSMs grunnprinsipper for IKT-sikkerhet (nsm.no)
• NIST 800-63b Digital Identity Guidelines (nist.gov)
• selvdeklarasjonsforskriften Del II - selvdeklarasjon av eID-ordninger (lovdata.no)

Avgrensning

Faktaarket omhandler passord som autentiseringsmekanisme for brukere, og ikke passord brukt i andre sammenhenger som f.eks. ved kryptering eller maskin- til maskin-kommunikasjon. Faktaarket stiller ingen konkrete krav til passord, men gir en anbefaling basert på beste praksis.

Faktaarket beskriver ikke generelle krav til autentisering (f.eks. tofaktorautentisering), identitets- eller tilgangsstyring, men kommer med noen anbefalinger. Se eget avsnitt med henvisning til relevant veiledning om tilstøtende områder.