s kerhet och tillit vid elektronisk identiÞering · msbfs 2009:10 6 ¤ en myndighets ......
TRANSCRIPT
Identifiering och registrering
Utfärdande av e-legitimation
Verifiering av elektronisk identitet
Organisation och styrning
- Verksamhetsform- Efterlevnad av lagar och regler- Informationssäkerhet- Villkor för underleverantörer- Teknisk driftmiljö- Handlingars bevarande- Granskning och uppföljning
- Ansökan och information om villkor- Fastställande av sökandens identitet- Verifiering av sökandens personuppgifter
- Utformning av tekniska hjälpmedel- Tillhandahållande av e-legitimationshandling- Giltighetstid och förnyelse- Spärrtjänst
- Utgivning av identitetsintyg- Intygs giltighetstid- Skydd av kommunikation
NIST SP 800-63-1
STORK QAA
Kantara IAF
De fyratillitsnivåerna
allmänvägledning
Ackreditering &Certifiering
e‑förvaltnings-aspekter
1999/93/EC
Metoder förkravuppfyllnad
ISO 29115(M-04-04)
LoA 1 – ingen eller liten tilltro till identitetenLoA 2 – viss tilltro till identitetenLoA 3 – hög tilltro till identitetenLoA 4 – mycket hög tilltro till identiteten
Fyra tillitsnivåer:
Tillitsramverkomvärldsutblick, USA 2003: OMB M-04-04
Konsekvenser vid ett eventuellt säkerhetsbrott 1 2 3 4Olägenhet, oro eller ryktesskada
Finansiell skada eller skadeståndsansvar
Röjande av känslig information till obehöriga
Civilt- eller straffrättsligt brott
Skada på verksamhet eller allmänintresse
Personsäkerhet
Tillitsnivå
begränsade måttliga betydande svåra
Tillit inom Skolfederation.seAllmänna krav på parterna
Ska bedriva ett strukturerat informationssäkerhetsarbete, innefattande:
Definiera roller och ansvarSörj för rätt kompetensSäkerställ incidenthanteringUtvärdera och hantera riskerUppföljning och internkontroll
Tillit inom Skolfederation.seLIS i Miniatyr
Definiera roller och ansvarSörj för rätt kompetensSäkerställ incidenthanteringUtvärdera och hantera riskerUppföljning och internkontroll
Ledningssystem för Informationssäkerhet (LIS)
Rätt säkerhet, inte nödvändigtvis hög säkerhetOrdning och redaKontinuerligt förbättringsarbeteStarka paralleller med Ledningssystem för Kvalitet (ISO 9001)
MSBFS 2009:10
6 § En myndighets arbete enligt 4 och 5 §§ ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet;
Ledningssystem för informationssäkerhet – Krav (SS-ISO/IEC 27001: 2006 fastställd 2006-01-19), ochRiktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).
Tillit inom Skolfederation.seSpecifika krav på parterna
Fysisk skydda system och informationsbärareSäkerställa urprunget av varje transaktion (spårbarhet)Ska hålla registrerade uppgifter aktuellaAnvända kryptering där så kan och behövs
1 Inledning
1.1 Beskrivning av verksamheten
1.2 Kontaktuppgifter
2 Personuppgifter
2.1 Användares ansvar
3 Ledning och styrning
3.1 Informationssäkerhet
3.2 Incidenthantering
3.3 Handlingars bevarande
3.4 Kontroll och granskning
4 Hantering av elektroniska identiteter och attribut
4.1 Identifiering och registrering
4.2 Utfärdande och spärr av elektronisk identitet
4.3 Utgivning av elektroniska intyg
5 Fysisk säkerhet samt spårbarhet
5.1 Fysisk säkerhet
5.2 Spårbarhet
6 Tekniska säkerhetskontroller
6.1 Hantering av kryptografiskt nyckelmaterial
6.2 Systemsäkerhet
Mall för skolhuvudman
1 Inledning
1.1 Beskrivning av tjänsten
1.2 Kontaktuppgifter
2 Personuppgifter
2.1 Användares ansvar
3 Ledning och styrning
3.1 Informationssäkerhet
3.2 Incidenthantering
3.3 Handlingars bevarande
3.4 Kontroll och granskning
4 Fysisk, administrativ och personorienterad säkerhet
4.1 Fysisk och miljörelaterad säkerhet
4.2 Personorienterad säkerhet
4.3 Spårbarhet
5 Tekniska säkerhetskontroller
5.1 Hantering av kryptografisk nyckelmaterial
5.2 Systemsäkerhet
5.3 Nätsäkerhet
Mall för e-tjänstleverantör
Tillitsdeklarationen
Att ge granskningsgruppen en bild av i vilken utsträckning kraven är uppfylldaAnvänd mallarna som checklista, beskriv avvikelserMåste inte vara perfekt