Fredrik Ljunggren2012-11-13

Säkerhet och Tillit vid elektronisk identifiering

?

Internationella tillitsramverk

OMB M-04-04/NIST SP 800-63STORK QAAKantara IAFISO/IEC 29115

Identifiering och registrering

Utfärdande av e-legitimation

Verifiering av elektronisk identitet

Organisation och styrning

- Verksamhetsform- Efterlevnad av lagar och regler- Informationssäkerhet- Villkor för underleverantörer- Teknisk driftmiljö- Handlingars bevarande- Granskning och uppföljning

- Ansökan och information om villkor- Fastställande av sökandens identitet- Verifiering av sökandens personuppgifter

- Utformning av tekniska hjälpmedel- Tillhandahållande av e-legitimationshandling- Giltighetstid och förnyelse- Spärrtjänst

- Utgivning av identitetsintyg- Intygs giltighetstid- Skydd av kommunikation

NIST SP 800-63-1

STORK QAA

Kantara IAF

De fyratillitsnivåerna

allmänvägledning

Ackreditering &Certifiering

e‑förvaltnings-aspekter

1999/93/EC

Metoder förkravuppfyllnad

ISO 29115(M-04-04)

LoA 1 – ingen eller liten tilltro till identitetenLoA 2 – viss tilltro till identitetenLoA 3 – hög tilltro till identitetenLoA 4 – mycket hög tilltro till identiteten

Fyra tillitsnivåer:

Tillitsramverkomvärldsutblick, USA 2003: OMB M-04-04

Konsekvenser vid ett eventuellt säkerhetsbrott 1 2 3 4Olägenhet, oro eller ryktesskada

Finansiell skada eller skadeståndsansvar

Röjande av känslig information till obehöriga

Civilt- eller straffrättsligt brott

Skada på verksamhet eller allmänintresse

Personsäkerhet

Tillitsnivå

begränsade måttliga betydande svåra

Tillit inom Skolfederation.seAllmänna krav på parterna

Ska bedriva ett strukturerat informationssäkerhetsarbete, innefattande:

Definiera roller och ansvarSörj för rätt kompetensSäkerställ incidenthanteringUtvärdera och hantera riskerUppföljning och internkontroll

Tillit inom Skolfederation.seLIS i Miniatyr

Definiera roller och ansvarSörj för rätt kompetensSäkerställ incidenthanteringUtvärdera och hantera riskerUppföljning och internkontroll

Ledningssystem för Informationssäkerhet (LIS)

Rätt säkerhet, inte nödvändigtvis hög säkerhetOrdning och redaKontinuerligt förbättringsarbeteStarka paralleller med Ledningssystem för Kvalitet (ISO 9001)

MSBFS 2009:10

6 § En myndighets arbete enligt 4 och 5 §§ ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet;

Ledningssystem för informationssäkerhet – Krav (SS-ISO/IEC 27001: 2006 fastställd 2006-01-19), ochRiktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).

Tillit inom Skolfederation.seSpecifika krav på parterna

Fysisk skydda system och informationsbärareSäkerställa urprunget av varje transaktion (spårbarhet)Ska hålla registrerade uppgifter aktuellaAnvända kryptering där så kan och behövs

1 Inledning

1.1 Beskrivning av verksamheten

1.2 Kontaktuppgifter

2 Personuppgifter

2.1 Användares ansvar

3 Ledning och styrning

3.1 Informationssäkerhet

3.2 Incidenthantering

3.3 Handlingars bevarande

3.4 Kontroll och granskning

4 Hantering av elektroniska identiteter och attribut

4.1 Identifiering och registrering

4.2 Utfärdande och spärr av elektronisk identitet

4.3 Utgivning av elektroniska intyg

5 Fysisk säkerhet samt spårbarhet

5.1 Fysisk säkerhet

5.2 Spårbarhet

6 Tekniska säkerhetskontroller

6.1 Hantering av kryptografiskt nyckelmaterial

6.2 Systemsäkerhet

Mall för skolhuvudman

1 Inledning

1.1 Beskrivning av tjänsten

1.2 Kontaktuppgifter

2 Personuppgifter

2.1 Användares ansvar

3 Ledning och styrning

3.1 Informationssäkerhet

3.2 Incidenthantering

3.3 Handlingars bevarande

3.4 Kontroll och granskning

4 Fysisk, administrativ och personorienterad säkerhet

4.1 Fysisk och miljörelaterad säkerhet

4.2 Personorienterad säkerhet

4.3 Spårbarhet

5 Tekniska säkerhetskontroller

5.1 Hantering av kryptografisk nyckelmaterial

5.2 Systemsäkerhet

5.3 Nätsäkerhet

Mall för e-tjänstleverantör

Tillitsdeklarationen

Att ge granskningsgruppen en bild av i vilken utsträckning kraven är uppfylldaAnvänd mallarna som checklista, beskriv avvikelserMåste inte vara perfekt

fredrik@kirei.se