Arbetsgruppens förslag till vägval för samverkan

Storlek: px
Starta visningen från sidan:

Download "Arbetsgruppens förslag till vägval för samverkan"

Transkript

1 Sida 1 (18) Arbetsgruppens förslag till vägval för samverkan Beställare Beställare av detta underlag är Karin Bengtsson, KSL/IT-Forum. Syfte Syftet med detta dokument är att belysa arbetsgruppens förslag till vägval för att underlätta samverkan. Syftet är vidare att arbeta igenom vägvalen med representanter från regionens kommuner och omvandla vägvalen till principer för samverkan. Bakgrund En teknisk arbetsgrupp är utsedd av KSL/IT-forum vars uppdrag är att ta fram ett beslutsunderlag till IT-Forums ägargrupp hur den nationella IT strategin säkerhetsmässigt bäst realiseras i Stockholmsregionen. Beslutsunderlaget skall innehålla rekommendationer som leder till harmonisering av befintliga lösningar och som skapar största möjliga interoperabilitet. Beslutsunderlaget skall också föreslå lösningar för digital samverkan kring individinformation mellan olika vårdgivare (regionens kommuner, landstinget, privata utförare) och mellan vårdgivare och medborgare. Inom ramen för arbetsgruppens arbete har ett antal problemområden identifierats, tillika viktiga byggstenar för samverkan: Informationsklassning Autentisering Katalogsamverkan Identitetsfederering Signering Kryptering Åtkomst Spårbarhet Transport Arbetsgruppen har inom ramen för dessa problemområden lyft fram och prioriterat ett antal viktiga vägval som flertalet berörda kommuner står inför och som rätt hanterat kan underlätta samverkan med landsting, utförare och givetvis kommuner i mellan. Vidare har arbetsgruppen identifierat att ett antal självklara vägval, grundförutsättningar, som ofta tas för givet men för att undvika att de är just självklara tillse att dessa dokumenteras. Kornhamnstorg 61 SE Stockholm Sweden Telefon: +46 (0) Telefon: +46 (0)

2 Sida 2 (18) Avgränsning Vad gäller problemområdet åtkomst är begreppet brett och har avgränsas i arbetsgruppens vidare arbete innan det går att lyfta fram viktiga vägval. Vad gäller problemområdet spårbarhet så är arbetsgruppens förslag att lyfta in detta som en faktor inom ramen för informationsklassning och därmed bringa klarhet i exempelvis vad som skall loggas, hur lång tid informationen skall lagras etc. Arbetsgruppen har i första hand fokuserat på autentisering av individer. I flertalet vägval är dessa tillämpningsbara även för autentisering av komponenter, system och motsvarande. Detta har dock inte varit arbetsgruppens huvudsakliga fokus. Riktlinjer för vägvalen Arbetsgruppens inställning är att så långt som möjligt verka för användning och tillämpning av internationella vedertagna standards där det är tillämpligt. Saknas det en standard på ett område tycker arbetsgruppen att det är bättre att verka för en standard framför att utveckla något som i slutändan bara blir en nationell företeelse. Detta tenderar till att vara återvändsgränder. Vidare är arbetsgruppens inställning att välja vägar som är väl beprövade, accepterade även utanför offentlig sektor och som kan anses vara långsiktiga. Angränsande projekt Arbetsgruppen har identifierat en handfull projekt som har påverkan på vägvalen, främst innehållsmässigt, varför det är av vikt att återkommande studera detta för att i förekommande fall justera vägvalen för att nå samsyn. Det kan röra sig om ordval, nyanser och kanske i något fall ändrat ställningstagande. De angränsande projekt som identifierats är följande: Delegation e-förvaltning MSBs projekt GRUSÄK Grundläggande informationssäkerhet SKLs kommungrupp

3 Sida 3 (18) Vägval #1 Gemensam metod, gemensamma faktorer och nivåer för informationsklassning Arbetsgruppens uppfattning är att det är en stor spännvidd rörande informationsklassning. Några kommuner har kommit lång och har väl fungerande processer för informationsklassning, flertalet har kommit en bit på väg men har en bra bit kvar till att det kan anses väl fungerande och några kommuner har inte påbörjat detta arbete. Gemensamt är att flertalet kommuner utgår från BITS, som är ett utdrag ur ISO27001 och ISO BITS är inte färdigt att använda utan var och en tvingas att göra sin egen tolkning. En parallell kan dras till skräpposthanteringen där Statskontoret presenterade en vägledning som var och en ägnade mycket tid till att göra sina vägval utifrån. Först när SKL satte ner foten och gjorde ett antal rekommendationer infann det sig arbetsro och stora mått av samsyn kring metoderna för skräpposthantering. Vidare ser arbetsgruppen att det varierar kring vilka faktorer som informationen klassas och inom vilka nivåer. Så väl ISO27000 som BITS lyfter fram följande faktorer: Sekretess (confidentiality) avsikten att innehållet i ett informationsobjekt inte bör göras tillgängligt eller avslöjas för obehöriga Riktighet (integrity) okränkbarhet med förmåga att upprätthålla sitt värde genom skydd mot oönskad förändring, påverkan eller insyn Tillgänglighet (availability) möjlighet att utnyttja tillgång efter behov i förväntad utsträckning och inom önskad tid Ytterligare en faktor som ibland nämns är spårbarhet. Det ges inte några förslag på nivåer i varse sig BITS eller ISO27000 utan här skall var och en att bestämma antal nivåer och gränser utifrån sina krav och förutsättningar. Exempel: för tillgänglighet har vi tre nivåer i vår kommun, hög (accepterad störning 2h), mellan (accepterad störning 1 dygn) och låg (accepterad störning 1 vecka). Arbetsgruppens första förslag är att utgå från SLLs & Stockholms stads metod för informationsklassning och paketera dessa på ett sådant sätt att den är lättillgänglig för de kommuner som har långt kvar till målet i denna fråga. Kommuner som redan har en väl fungerande metod för informationsklassning berörs ej. Arbetsgruppens andra förslag är att utgå från SLLs & Stockholms stads definition av faktorer och nivåer för Informationsklassning och anpassa dessa till att spegla en lägsta nivå för de kommuner som berörs. Noterbart är att Stockholms stad har adderat spårbarhet som en fjärde faktor. De kommuner som har gjort definitioner av faktorer och nivåer bör verifiera att de lever upp till minst lägsta nivå. Syftet med att samordna informationsklassningen är att alla inblandade parter skall ha samma syn hur information skall skyddas, i vilken grad och i förekommande fall på vilket sätt. Råder det inte samsyn kring informationsklassning försvåras ett samarbete avsevärt. Om en part identifierar berörd information som mindre skyddsvärd kan denna utgöra en stor risk för den part som gjort en annan bedömning av informationens skyddsvärde.

4 Sida 4 (18) Vägval #2 Gemensam syn på definitionen stark autentisering Detta vägval har beröring med vägval #3 som avspeglar accepterade metoder för stark autentisering. De flesta är nog överens om att stark autentisering inte är att autentisera sig med enbart ett personligt lösenord. Datainspektionen lyfter fram e-legitimation och engångslösenord som exempel på stark autentisering. Samtidigt har de vid tillsyn poängterat att ett engångslösenord inte får överföras via mejl (SMTP) så bilden är inte tydlig. IT-säkerhetsbranschen använder ofta begreppet 2-faktor autentisering där två av följande metoder (faktorer) kombineras: Typ 1 Något du vet, som ingen annan vet, exempelvis ett lösenord. Typ 2 Något du har, som ingen annan har, vanligtvis en fysisk tingest. Typ 3 Något du är, som ingen annan är, exempelvis ett fingeravtryck. Exempelvis ett engångslösenord genererat av en fysisk dosa som skyddas med en PINkod. Något som du har respektive något som du vet. En kombination av två lösenord är alltså inte ett exempel på en stark autentisering. Arbetsgruppens förslag är att likställa stark autentisering med 2-faktors autentisering. Syftet är att säkerställa att ingen part använder otillräcklig autentisering i sammanhang där stark autentisering krävs.

5 Sida 5 (18) Vägval #3 Accepterade metoder för stark autentisering Detta vägval har beröring med vägval #2 vad gäller definitionen av begreppet stark autentisering, vägval #4 vad gäller certifikatpolicy, väg val#5 vad gäller antal PKI er, vägval #8 vad gäller tilliten till metoden och vägval #11 vad gäller signering. Autentiseringsområdet är ett spretigt område vilket troligen också är orsaken till de personliga lösenorden lever vidare. Flertalet väntar på den perfekta lösningen som förstärker autentiseringen, förenklar för användaren och inte bidrar till ökad administration. Flera har ställt sitt hopp till biometriska lösningar men marknadsacceptansen är fortsatt låg. Kanske för att tekniken förutom att säkerställa din identitet också kan fastställa om du är gravid eller har ett skadligt blodtryck, eller kanske för att tekniken ofta är förenad med bakdörrar. Lösningarna på marknaden domineras därför av faktorerna: Typ 1 Något du vet, som ingen annan vet, exempelvis ett lösenord. Typ 2 Något du har, som ingen annan har, vanligtvis en fysisk tingest. Dessa är i sin tur realiserade i två huvudsakliga alternativ. Antingen bygger lösningen på engångslösenord i någon form eller så bygger lösningen på asymmetriska nyckelpar (publik och privat). Det asymmetriska nyckelparet kan utöver autentisering också användas för signering. Det målande exemplet på det asymmetriska nyckelparet, är ett Smartcard som dels innehåller den publika nyckeln som signerats av en betrodd part (certifikat) dels den privata nyckel som skyddats med en pinkod (jämför lösenord). Exemplet är en delmängd av en PKI (public key infrastructure) också benämnd öppna nyckelsystem. Arbetsgruppens förslag avseende accepterade metoder för stark autentisering vid samverkan är att utöver eid välja ut två, alternativt tre, metoder som minst lever upp till omvärldskraven och som kan anses vara framtidssäkrad i den mån det går att förutspå. Den ena metoden är PKI (public key infrastructure) med lagring av nyckelpar på SmartCard och de två andra metoderna bygger på engångslösenord, antingen genererade i en fysisk enhet (mobiltelefon, dosa mfl) eller säkert distribuerad till en fysisk enhet (ex mobiltelefon). Den förstnämnda metoden kan användas för signering. I vissa fall kan även en dosa användas för signering. Syftet är att inom ramen för samverkan tydliggöra vilka metoder som vid samverkan är accepterade för stark autentisering. Vägvalet kan ha påverkan hos de kommuner som har valt otillräckliga autentiseringsmetoder där det vid samverkan erfordras stark autentisering i enlighet med vägvalet.

6 Sida 6 (18) Vägval #4 Gemensam minimikrav på en certfikatspolicy (CP) Detta vägval har beröring med vägval #8 rörande regelverk för federationsmedlemskap och vägval. En PKI (public key infrastructure) är inte mer värt än dess policy (CP) och de regler och rutiner som en utfärdare tillämpar för att uppfylla krav i policyn. Det senare, utfärdardeklarationen, benämns ofta CPS (certifikation practise statement). Det är av vikt att varje organisation, utfärdare eller ej, har bestämt sig för vilken nivå som är lägsta tillåtna nivån. Idealet är givetvis att kommunen enbart förlitar sig på de PKI er som ligger i linje med kommunens krav och att om kommunen ikläder sig rollen som utfärdare att andra uppfattar att kommunens PKI ligger i linje även med omvärldskraven. Det senare är av största vikt för eventuella federationsmedlemskap. Arbetsgruppens förslag är att studera nåra stora aktörers CP/CPS, förslagsvis SITHS som ett exempel på en stor nationell PKI med ett högt säkerhetsfokus och Verisign som ett exempel på en stor kommersiell aktör, och ur dessa lyfta fram vad som kan anses vara minimikrav samt ur dessa ta fram en CP/CPS som kan användas av de kommuner som önskar realisera en egen PKI. Syftet är inom ramen för samverkan säkerställa att samtliga berörda PKI er inte avviker från minimikraven och därmed inte riskera att en autentisering är otillräcklig, Detta kan få påverkan på befintliga certifikat policys som upprättats och som inte uppfyller minikraven. Det kommer också att få påverkan på de kommuner som redan satt upp ett PKI, men utan någon form av certifikat policy.

7 Sida 7 (18) Vägval #5 En eller flera PKI er för autentisering i den egna organisationen Detta vägval har beröring med vägval #3 rörande metoder för stark autentisering och vägval #9 alternativ till identitetsfederationer. En majoritet av alla organisationer förlitar sig enbart på personliga lösenord vid autentisering. Då omvärldskraven kräver stark autentisering i allt större utsträckning tvingas organisationen att acceptera autentiseringslösning som kanske inte är önskvärda, men samtidigt har den egna organisationen inget av autentiseringsvärde att erbjuda varpå organisationen ställs inför ett fullbordat faktum. Lösningar som till en början är verksamhetsspecifika, likt ChamberSign, ID06, SITHS och Steria kanske kan fylla övriga autentiseringsbehov som organisationen har men flera frågar sig om det är rätt väg att gå. Vem tillser att det inte blir konflikt på den enskilda arbetsplatsen när flera SmartCards skall samverka med av varandra, sannolikt med stöd av flera olika Cryptographic Service Providers (CSP) som i sig kanske slåss om att äga Smartcardet? Typexemplet är inloggning i en Windows domän där det inte är önskvärt att det råder oklarhet i vad som faktisk skall ligga till grund för inloggningen. Detta vägval har också beröring till lösningar för inpassering, lås och flex. Växvalet har också beröring till SIS-märkta ID-kort. Ett och samma kort kan användas för att täcka så väl dessa lösningar som att ingå i en lösning för stark autentisering En majoritet av landets kommuner står inför samma vägval, vill organisationen ha flera olika, trots allt likartade autentiseringslösningar, eller skall organisationen realisera en egen lösning som också inkluderar alla egna behov från nätautentisering till signering, eller skall organisationen välja en etablerad lösning för att lösa alla sina behov. Frågorna är många men beslutet är viktigt! Arbetsgruppen gör bedömning att det är bättre att förorda en PKI framför flera för att realisera stark autentisering av den egna organisationen samt i förekommande fall samordna detta med kort-lösningar för inpassering, lås, flex etc. Syftet är att undvika att den enskilda organisationen ställs inför de tekniska problem som en lösning med flera olika likartade autentiseringslösningar kan medföra. Detta beslut kan få väldigt stor påverkan då antalet PKI er för autentisering i den egna miljön begränsas, samtidigt som ett uteblivet beslut leder till en väldigt vildvuxen autentiseringsflora som till syvende och sist måste gallras.

8 Sida 8 (18) Vägval #6 Accepterade metoder för identitetsfederering Detta vägval har beröring med vägval #7 rörande ambitioner för identitetsfederering. Utgångspunkten för en identitetsfederation är att information om personer, användare och resurser bäst hanteras av de organisationer som har en naturlig relation med dessa. Förenklat sker inloggning i hemmaorganisationen. Därefter skickas användaren via webbläsaren till det gemensamma verksamhetssystemet hos någon annan resursgivande medlem i federationen. Vid omdirigeringen får verksamhetssystemet möjlighet att läsa av nödvändiga egenskaper om användaren. Metoderna som används för identitetsfederationer ryms inom flera standarder där SAML (Security Assertion Markup Language) är den kanske mest kända. Andra nämnvärda standarder är OpenID och ADFS (Active Directory Federation Services). SAML är den metod som är helt dominerande inom ramen för offentlig verksamhet i Sverige. OpenID tenderar till att attrahera näringslivet som ser en möjlighet att lättare nå en konsument som är känd i en portal som stödjer OpenID. Noterbart är att en molntjänst som Google Apps, stödjer både SAML och OpenID för att vara tillgänglig oavsett metod för identitetsfederering. Arbetsgruppens förslag är att enbart acceptera SAML (Security Assertion Markup Language) version 2 eller senare som metod för identitetsfederering samt tydliggöra att det i förekommande fall är det enda sättet att logga in och att säkerställa det inte finns någon bakväg in. Syftet är att inom ramen för samverkan tydliggöra vilka metoder för indentitetsfederationer som förespråkas. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

9 Sida 9 (18) Vägval #7 Gemensamma ambitioner för identitetsfederering Detta vägval har beröring med vägval #6 rörande metoder för identitetsfederering och vägval #12 alternativ till signering. Mycket talar för att identitetsfederering kommer att ha stor påverkan på autentiseringsområdet. Sannolikt kommer alla nyutvecklade verksamhetssystem att ha möjlighet att konsumera SAML-biljetter oavsett om verksamhetssystemet är lokalt, utkontrakterat eller en molntjänst. Möjligheten att konsumera en SAML-biljett benämns ofta SP (service provider). Allt fler kommuner har idag tekniska möjligheter att ge ut SAML-biljetter, benämns ofta IdP (identity provider). Flera har också tekniska möjligheter att konsumera SAML-biljetter i någon form av mellanled för att autentisera sig mot befintliga tillämpningar. Flera har sannolikt inte vetskap om att de har dessa möjligheter då hela identitetsfederationsbegreppet är omgärdat med viss mystik. Arbetsgruppens förslag är att kravställa att varje ny webbaserad tillämpning som kräver autentisering skall ha stöd för SAML. Vidare är arbetsgruppens förslag att varje berörd kommun skall kunna utfärda SAML-biljetter och konsumera SAML-biljetter i webbaserade tillämpningar som kräver autentisering och har ett samverkansintresse. Syftet är att inom ramen för samverkan möjliggöra användning av den egna autentiseringslösningen förutsatt att den är tillräcklig. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

10 Sida 10 (18) Vägval #8 Gemensamt regelverk för federerationsmedlemskap Detta vägval har beröring med vägval #3 rörande metoder för stark autentisering och vägval #4 rörande certifikatpolicy (CP) Regelverket som omgärdar federationsmedlemskap bör vara jämbördigt för samtliga inblandade parter. Om varje ingående IdP (identity provider) inte uppfyller de av övriga medlemmar ställda krav måste det finnas möjlighet att begränsa informationstillgången med utgångspunkt från varje enskild IdP (identity provider). I ett större sammanhang är det sannolikt inte tillämpningsbart och i fall där stark autentisering erfordras kan det knappast vara till fylles. Det är dock inte ovanligt att en federation består av ett par olika förtroendenivåer baserat på nivå av autentisering. I dagsläget finns det aktiva federationer i högskole- och universitetsvärlden. Det lyfts fram som en hörnpelare i utredningen Strategi för myndigheternas arbete med e-förvaltning SOU 2009:86, men där är det fortfarande långt till handling och fokus är att införliva nuvarande eid i en federation. Arbetsgruppens förslag är att skriva en riktlinje, eller en underordnad instruktion, som kan ge berörda kommuner erforderliga regelverk för att ingå i en federation. Syftet är att inom ramen för samverkan säkerställa att varje ingående IdP (identity provider) inte avviker från minimikraven och därmed inte riskera att en autentisering är otillräcklig, Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

11 Sida 11 (18) Vägval #9 Alternativ till identitetsfederationer Detta vägval har beröring med vägval #5 rörande antalet PKI er i den egna miljön. Identitetsfederationer är sannolikt den naturliga formen av autentiseringssamverkan. Dock klarar inte alla av att generera och konsumera SAML-biljetter samt att standarden i huvudsak inriktar sig till webbaserade tillämpningar och begränsar sig till enbart autentisering. Är det andra former av tillämpningar eller om det finns behov av signering återstår att söka andra former av samverkan. Närmast till hands är att samverka över gränserna i en PKI vilket kan åstadkommas på flera sätt. Här som i många andra fall, är utmaningen av mer formell karaktär en av teknisk karaktär där tekniker för att bygga bryggor PKI i mellan är en naturlig ingrediens. Arbetsgruppens förslag är att utöka den riktlinje, eller en underordnade instruktionen, som avhandlar regelverk för federerationsmedlemskap till att även innefatta synen på alternativ till identitetsfederationer. Syftet är att inte låta begräsningarna i SAML verka begränsande för ett samarbete. Vägvalet har sannolikt ingen negativ påverkan på redan fattade beslut utan förstärker bara det merparten redan arbetat utifrån.

12 Sida 12 (18) Vägval #10 Hygienkrav för katalogen Detta vägval har ingen direkt beröring med övriga vägval. Det är allt vanligare att verksamhetssystemen avkräver ytterligare information i samband med en inloggning. Attribut som roller och relationer, information om vem som utfört autentisering och hur autentiseringen gått till väga. Attribut och ytterligare information kan presenteras för ett verksamhetssystem på olika sätt och i de flesta fall har de sitt ursprung i en katalog. Katalogen blir därför en allt viktigare hörnsten och därmed också tillliten till informationen i katalogen. I fler former av samverkan krävs inte sällan utbyten av kataloginformation vilket ställer än högre krav på framför allt riktighet. Varje kommun arbetar idag tämligen individuellt med frågor kring katalog, identitetsbegrepp, roller, attribut mm. Arbetsgruppens förslag är att skapa en riktlinje, eller en underordnad instruktion, som ställer krav på den egna katalogen. Förslagsvis utgår man från HSA policy och använder den för att fastställa minimikraven på en lokal katalog. Syftet är att förenkla katalogsamverkan och katalogutbyten. Vägvalet har sannolikt enbart positiv påverkan oavsett var i processen varje enskild kommun befinner sig i arbetet att skapa en väl fungerande katalog.

13 Sida 13 (18) Vägval #11 Accepterade metoder för signering Detta vägval har beröring med vägval #3 rörande metoder för autentisering och vägval #12 rörande metoder för signering. I lagens rätta bemärkelse skall en elektronisk signatur ske med en privat nyckel vars publika nyckel är signerad av en organisation som lever upp till till lagen (2000:832) om kvalificerade elektroniska signaturer som i sin tur är ett resultat av EU:s direktiv 1999/93/EC. Med detta i ryggen kan signaturen anses vara icke förnekbar. Tyvärr är förutsättningen att detta skall inträffa ringa, då endast en organisation (Signguard) har anmält sig till PTS som utfärdare av kvalificerade certifikat. Övriga större aktörer som BankID, Nordea, Telia, SITHS, Steria, ChamberSign mfl anser sig inte vara utfärdare av kvalificerad certifikat. Det bör också nämnas att svensk certifikatstandard förordar användning av två nyckelpar, ett nyckelpar för autentisering (keyusage digitalsignature & keyencipherment) och ett nyckelpar för signering (keyusage non-repudiation). Lagstiftningen omnämner inte tekniker som exempelvis challange-respons baserade dosor som också rent tekniskt kan användas för signering. Även en identitetsfederation, ex baserad på SAML, är diskvalificerad med nuvarande lagstiftning. Sannolikt kommer detta att förändras i någon form då Strategi för myndigheternas arbete med e-förvaltning SOU 2009:86 lyfter fram identitetsfederationer som en teknisk ersättare till dagens PKI er som i sin tur ligger till grund för eid. Arbetsgruppens förslag är vänta in det utredningsarbete som edelegationen utför på detta område. Fram till dess endast acceptera en signatur som är utförd i enlighet med svensk certifikatstandard. Syftet är att inom ramen för samverkan ha ett gemensamt synsätt på signering. Detta vägval kommer att ha inverkan på befintliga signeringsfunktioner som inte kan anses uppfylla hela eller delar av lagkravet.

14 Sida 14 (18) Vägval #12 Alternativ till signering Detta vägval har beröring med vägval #7 rörande ambitioner för identitetsfederering och vägval #11 rörande metoder för signering. Lagkravet kring signering diskkvalificerar lösningar och tekniker som i sig främjar ett samarbete. Ett typexempel är identitetsfederationer. Verksamhetsmässigt kanske det inte alltid är nödvändigt med en signatur i överensstämmelse med lagen (2000:832) om kvalificerade elektroniska signaturer. Det kanske är fullt tillräckligt att med en kvittering som exempelvis görs med en SAML-biljett utställd för ändamålet och som har en mycket begränsad livslängd i tid. mer av signering. Arbetsgruppens förslag är att se över behoven av signering. Dels för att se när det verkligen krävs en signering i enlighet med lagstiftningen, dels när en enklare form av signering kan anses tillräcklig. Enklare former av signering, kanske mer likt kvittering, öppnar upp för användning av tekniker likt identitetsfederationer som främjar samarbeten men sätter hinder vad gäller signering. Syftet är att inom ramen för samverkan hitta lösningar för signering som lever upp till verksamhetens krav och men som samtidigt kan anpassas till de tekniska och juridiska begränsningar som en identitetsfederering medför. Detta vägval kan ha inverkan på befintliga signeringsfunktioner.

15 Sida 15 (18) Vägval #13 Implementation av signeringsfunktioner Detta vägval har ingen direkt beröring med övriga vägval. En majoritet av berörda kommuner har en verktygslåda som primärt innehåller funktioner för att realisera e-tjänster, samordna olika former av stark autentisering, möjliggöra SSO (single-sign-on) etc. Dessa verktygslådor innehåller ofta också funktioner för signering. Likaså är det med Cryptographic Service Providers (CSP) att de förutom agerar gränssnitt mot ex ett SmartCard också innehåller funktioner för bland annat signering. Gemensamt för samtliga är att de har sitt gränssnitt för signering, De tillämpningar som skall använda gränssnittet måste anpassas till gränssnittet. Rimligt är att dessa gränssnitt standardiseras för att möjliggöra en fri rörlighet mellan olika verktygslådor och olika CSP er. Exempel på tillverkare av verktygslådor Mobilityguard, NordicEdge, PortWise och Sirius. Exempel på tillverkare av CSP er är Nexus, Secmaker och Steria. Arbetsgruppens förslag är att ge berörda tillverkare i uppdrag att ge förslag på hur en samordning av de applikationsnära gränsytorna kan ske. Syftet är möjliggöra en större rörlighet kring signeringsfunktioner som annars är mer eller mindre låsta till den produkt som är vald för ändamålet. Vägvalet har sannolikt ingen negativ påverkan utan det för tillverkaren unika gränssnittet kommer sannolikt att leva parallellt med ett eventuellt tillverkar gemensamt gränssnitt.

16 Sida 16 (18) Vägval #14 Gemensam infrastruktur Detta vägval har ingen direkt beröring med övriga vägval. Internet har historiskt inte ansetts tillräckligt tillförlitig för att ligga till grund för exempelvis regional samverkan eller bransch samverkan varför parallella infrastrukturer etablerats. I dag är Internet i de allra flesta fallen minst lika tillförlitligt som annan infrastruktur. Betänk att den som producerar parallell infrastruktur till Internet i de allra flesta fallen använder exakt samma utrustning och exakt samma infrastruktur som användas för att producera sin gren av Internet. Oavsett form av samverkan är Internet därför det självklara valet för gränsöverskridande kommunikation. De flesta organisationer strävar mot att minimera anslutningar mot infrastruktur som ligger utan för dess kontroll. Det vill säga alla delar som inte kan anses tillhöra den egna infrastrukturen. Det görs för att minimera exponeringen och därigenom tydliggöra riskerna och ytterst förenkla elimineringen av eventuella sårbarheter. Arbetsgruppen förslag är att en riktlinje arbetas fram som tydliggöra att gränsöverskridande kommunikation skall ske över Internet och termineras i en punkt som möjliggör kontroll på trafik till och från den egna infrastrukturen. Syftet är att inom ramen för samverkan undvika parallell infrastruktur utan koncentrera all samverkan till Internet. Detta kommer att få påverkan på de parallella anslutningar som finns till varje kommun från leverantörer, för verksamhetsspecifika ändamål, för support etc. Det kommer att kräva av varje förespråkare av parallell infrastruktur till Internet att tillse att Internet kan ersätta de parallella infrastrukturerna.

17 Sida 17 (18) Vägval #15 Förvaltning av gemensamma riktlinjer Detta vägval har mer eller mindre beröring med samtliga vägval. Ett antal vägval resulterar i gemensamma riktlinjer. Dessa riktlinjer är sannolikt mer eller mindre levande dokument. För att bibehålla fortsatt samsyn krävs en fort samordning av dessa. Det är inte sannolikt att varje kommun själv kan underhålla dessa riktlinjer och behålla fortsatt samsyn. Arbetsgruppen förslag är att Kommunförbundet i Stockholms län får ansvaret att förvalta de gemensamma riktlinjerna. Vid behov av ändring av dessa skall Kommunförbundet i Stockholms län uppmärksammas på detta och tillsätta en arbetsgrupp som får till uppgift att presenterar ett uppdaterat förslag som sedan förankras bland intressenterna. Syftet är att bibehålla samsyn kring de riktlinjer som är utarbetade för att ge samsyn inom viktiga områden för att underlätta samverken. Detta kommer att få den påverkan att de som använder de gemensamma instruktionerna inte själva får ändra eller frångå dessa utan att informera övriga intressenter.

18 Sida 18 (18) Grundförutsättningar Arbetsgruppen har identifierat ett antal självklara vägval som ofta tas för givet men för att undvika att de är just självklara samlas de under denna punkt. Tid direkt spårbar till UTC(SP) Ur ett spårbarhetsperspektiv är tid av oerhörd vikt. Det lyfts allt oftare fram i omvärldskraven, inte minst i nya lagar och föreskrifter. Sanningen är tyvärr den att det självklara inte är så självklart. Ur ett autentiserings- och identitetfederationsperpektiv är tid en mycket viktig faktor, i några fall helt avgörande. Arbetsgruppen utgår från att alla datorers tid skall vara direkt spårbar till UTC(SP)* förslagsvis med en egen källa som är direktspårbar till UTC(SP). *) UTC=Coordinated Universal Time, SP= Sveriges Tekniska Forskningsinstitut Hantering av krypteringsnycklar Algoritmer och nyckellängder må vara viktiga, men det är trots allt nyckelhanteringen som är allra viktigast och det är där allra mest krut skall läggas. Redan i slutet av talet konstaterade holländaren Auguste Kerckhoffs att säkerheten i ett välgjort krypteringssystem enbart ska vara beroende av att man hemlighåller nyckeln. Drygt 100 år senare verkar denna till synes enkla princip ha fallit i glömska med tanke på återkommande skräckexempel som att krypteringsnycklar mailas i klartext. Arbetsgruppen utgår från att varje organisation har en riktlinje, instruktion eller motsvarande som beskriver hur krypteringsnycklar skall lagras, utbytas, förnyas etc. Denna information skall inom ramen för samarbetet kunna delges annan ingående part. Krypteringsalgoritmer och nyckellängder Få kommuner har tagit någon aktiv ställning kring val av krypteringsalgoritmer och nyckellängder utan de väljs ofta på någon form av inrådan, kanske används en standardinställning i den programvara som används för ändamålet. Självklart bör varje organisation ha en uppfattning om vilka krypteringsalgoritmer och vilka nyckellängder som skall förordas. Med krypteringsalgoritmer avses symetriska algoritmer, asymmetriska algoritmer och hash algoritmer. Arbetsgruppen utgår från att varje organisation har en riktlinje, instruktion eller motsvarande som beskriver vilka krypteringsalgoritmer och nyckellängder som förordas. Denna information skall inom ramen för samarbetet kunna delges annan ingående part. Certezza AB Thomas Nilsson

De 16 principerna för samverkan

De 16 principerna för samverkan De 16 principerna för samverkan Syftet med de styrande principerna Kommunerna i Stockholms län värnar om nätneutralitet, autentiseringsneutralitet och federationsneutralitet. Syftet med principerna är

Läs mer

ÖTP-spåret Sambruks vårmöte 2010-11-09. OETP_2010-11-09_v2.ppt

ÖTP-spåret Sambruks vårmöte 2010-11-09. OETP_2010-11-09_v2.ppt ÖTP-spåret Sambruks vårmöte 2010-11-09 OETP_2010-11-09_v2.ppt Agenda ÖTP-spåret kl 1030-1500 Inledning Lägesrapportering ÖTP v2.1 Matchning KSL:s 16 principer Kort presentation av MSKD som exempel på en

Läs mer

Autentisering till verksamhetssystem inom vård & omsorg

Autentisering till verksamhetssystem inom vård & omsorg Sida 1 (5) 2009-11-11 Autentisering till verksamhetssystem inom vård & omsorg Beställare Beställare av detta underlag är Karin Bengtsson, KSL/IT-Forum. Syfte Syftet med detta dokument är att redovisa den

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation. Datum: 2011-02-28 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn:

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Tjänster för elektronisk identifiering och signering

Tjänster för elektronisk identifiering och signering Bg eid Gateway och Bg PKI Services Tjänster för elektronisk identifiering och signering En elektronisk ID-handling är förutsättningen för säker och effektiv nätkommunikation. I takt med att tjänster blir

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

Apotekens Service. federationsmodell

Apotekens Service. federationsmodell Apotekens Service Federationsmodell Detta dokument beskriver hur Apotekens Service samverkar inom identitetsfederationer Datum: 2011-12-12 Version: Författare: Stefan Larsson Senast ändrad: Dokumentnamn:

Läs mer

Hur kan medborgaren få bättre vård?

Hur kan medborgaren få bättre vård? Hur kan medborgaren få bättre vård? Säkert informationsutbyte med federationslösning för utökad vårdkvalitet över organisationsgränser Presentatörer Stefan Wittlock, Hultsfreds kommun Tommy Almström, Nordic

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Samverka effektivare via regiongemensam katalog

Samverka effektivare via regiongemensam katalog Samverka effektivare via regiongemensam katalog Seminarium 4:6 Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Johan Zenk, Landstinget i Östergötland Ännu inget genombrott för e-legitimation

Läs mer

Tekniskt ramverk för Svensk e- legitimation

Tekniskt ramverk för Svensk e- legitimation Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER

Läs mer

tisdag 8 november 11

tisdag 8 november 11 Hur bygger vi SSO-lösningar utan att påverka IT-infrastrukturen? 2011-11-07 Tommy Almström Product Manager www.nordicedge.se/talmstrom Dagens mest aktuella fråga: Hur många konton samt lösenord har

Läs mer

Identitetsfederering etapp II Höga och låga observationer

Identitetsfederering etapp II Höga och låga observationer Identitetsfederering etapp II Höga och låga observationer Thomas Nilsson thomas@certezza.net 2011-09-23 Smidigt och kontrollerat https://exempel.idp.domain.tld/

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun Införande av Erfarenheter i Sundsvalls kommun Innehåll 1. OM DOKUMENTET... 3 2. OM SKOLFEDERATION... 3 3. INFÖRANDE AV SKOLFEDERATION... 3 3.1 FASTSLÅ VERKSAMHETENS MÅLBILD FÖR SKOLFEDERATION... 3 3.1.1

Läs mer

SAMSET dagsläget sommaren 2003

SAMSET dagsläget sommaren 2003 SAMSET dagsläget sommaren 2003 Behovet av elektronisk identifiering och underskrifter Medborgarna och företag ett har stort behov av att kunna ta kontakt med myndigheter snabbt och enkelt. Med Internet

Läs mer

Svensk e-legitimation 2014-11-04

Svensk e-legitimation 2014-11-04 Svensk e-legitimation 2014-11-04 Varför byta e-legitimationssystem? Nuvarande ramavtal eid2008 gick ut 2012-06-30 - T.ex. nya ehälsomyndigheten, bildad 2013, kan inte avropa e- legitimationer. Efter ändring

Läs mer

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam) Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam) Vad finns idag? Landstingen har SITHS, HSA, Säkerhetstjänster,

Läs mer

En övergripande bild av SITHS

En övergripande bild av SITHS En övergripande bild av SITHS Kontakt: Jessica Nord E-post: servicedesk@inera.se Webbsida: www.siths.se 1 2 Nationell e-hälsa SITHS en pusselbit Vad används SITHS till? Fysisk ID-handling Inpassering Säker

Läs mer

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Ledning och styrning av IT i kommunen Kommunen har sedan många år en central IT-avdelning med ansvar för drift

Läs mer

Krav på identifiering för åtkomst till konfidentiell information

Krav på identifiering för åtkomst till konfidentiell information Krav på identifiering för åtkomst till konfidentiell information Apotekens Service tillämpning av tillitsnivå tre, baserat på Kantara Identity Assurance Framework, för åtkomst till känsliga personuppgifter.

Läs mer

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Dokument: Attest-signatur Version 0.1 Författare Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Innehåll 1 Inledning... 2 1.1 Syfte... 2 2 Informationsflöde... 3 2.1 Begrepp... 3 3 Grundprincip... 5 4

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (5) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress Hantverkargatan 2

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Regionalt befolkningsnav Utgåva P 1.0.0 Anders Henriksson Sida: 1 (6) 2011-09-20. Projektdirektiv

Regionalt befolkningsnav Utgåva P 1.0.0 Anders Henriksson Sida: 1 (6) 2011-09-20. Projektdirektiv Anders Henriksson Sida: 1 (6) Projektdirektiv Regionala nav för identitetsuppgifter och hantering av autentiserings- och auktorisationsuppgifter Anders Henriksson Sida: 2 (6) 1 Projektnamn/identitet Regionala

Läs mer

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS? Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS? SITHS nationella RA-dag Ulf Palmgren 2014-05-13 Bakgrund: Landskapet Privatpersoner och Medarbetare Inloggning Inloggning

Läs mer

Projektbeskrivning E-dos/SITHS. För. Skånes kommuner

Projektbeskrivning E-dos/SITHS. För. Skånes kommuner Projektbeskrivning E-dos/SITHS För Skånes kommuner Innehållsförteckning 1 Dokumenthistorik... 3 1.1 Versioner... 3 1.2 Förkortningar/förtydliganden... 3 2 Bakgrund och syfte... 4 3 Projektidé... 5 3.1

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

Ett minskat och förenklat uppgiftslämnande (SOU 2013:80)

Ett minskat och förenklat uppgiftslämnande (SOU 2013:80) YTTRANDE 2014-03-12 N Fi2009:01/2014/1 E-delegationen N Fi 2009:01 Näringsdepartementet 103 33 Stockholm Ett minskat och förenklat uppgiftslämnande (SOU 2013:80) Sammanfattning: E-delegationen anser att

Läs mer

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt Per Rasck Tjänsteansvarig Tobias Ljunggren IAM Arkitekt EN MOLNBASERAD Identitet och behörighetstjänst Vi har tagit fram en lösning som hjälper er Förbättra genom hög grad av automation Förenkla lätt att

Läs mer

Bilaga 2. Säkerhetslösning för Mina intyg

Bilaga 2. Säkerhetslösning för Mina intyg Bilaga 2. Säkerhetslösning för Mina intyg Sid 1/17 Innehåll 1. Sammanfattning... 2 2. Inledning... 3 3. Introduktion... 4 4. Säkerhetslösning för Mina intyg... 5 5. Krav på andra lösningar och aktörer...

Läs mer

Att legitimera sig elektroniskt i tjänsten

Att legitimera sig elektroniskt i tjänsten Att legitimera sig elektroniskt i tjänsten Seminariespår 4 Välkomna!!! Syfte Att ge en bild av det utgångsläge e-legitimationsnämnden nu har när man tar över frågan om e-legitimering i tjänsten Identifiera

Läs mer

BILAGA 1 Tekniska krav

BILAGA 1 Tekniska krav 1 av 8 BILAGA 1 Tekniska krav Version 2.4.7 Tekniska krav för anslutning till Skolfederation Skolfederationen har likt många andra Federativa initiativ som mål att använda följande SAML 1 - profiler: egov

Läs mer

Teknisk infrastruktur för nationell IT-strategi för vård och omsorg samt kommunal e-förvaltning

Teknisk infrastruktur för nationell IT-strategi för vård och omsorg samt kommunal e-förvaltning Teknisk infrastruktur för nationell IT-strategi för vård och omsorg samt kommunal e-förvaltning Presentation målbild, syfte och omfattning Sara Meunier Kurt Helenelund Version PA2 Svenska Kommunförbundet

Läs mer

Systemkrav. Åtkomst till Pascal

Systemkrav. Åtkomst till Pascal Systemkrav Åtkomst till Pascal Innehållsförteckning 1. Inledning... 3 2. Operativsystem, webbläsare och Net id... 3 3. Net id (Gäller enbart för SITHS-kort)... 6 4. Brandväggar (Gäller enbart för SITHS-kort)...

Läs mer

eid Support Version 0.1 2011-02-08

eid Support Version 0.1 2011-02-08 eid Support Version 0.1 2011-02-08 INNEHÅLLSFÖRTECKNING 1 VERSIONSHANTERING... 3 2 INLEDNING... 3 3 VAD ÄR EN E-LEGITIMATION?... 3 4 OLIKA TYPER AV E-LEGITIMATION?... 3 4.1 BANKID... 3 4.2 NORDEA... 4

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datum Diarienr 2013-09-11 1613-2011 Danske Bank A/S Filial Sverige NN Box 7523 103 92 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar Datainspektionens beslut Danske

Läs mer

Grunderna i PKI, Public Key Infrastructure

Grunderna i PKI, Public Key Infrastructure Grunderna i PKI, Public Key Infrastructure Christer Tallberg ctg07001@student.mdh.se Philip Vilhelmsson pvn05001@student.mdh.se 0 Sammanfattning I och med dagens informationssamhälle finns ett stort behov

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

E-legitimationer - en ofantlig angelägenhet

E-legitimationer - en ofantlig angelägenhet E-legitimationer - en ofantlig angelägenhet Christer Haglund Avdelningen för tillväxt och samhällsbyggnad Sveriges Kommuner och Landsting christer.haglund@skl.se Sammanhållen e-förvaltning en väg in Kurator

Läs mer

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Hur når man tre miljoner användare på ett enkelt och säkert sätt? Hur når man tre miljoner användare på ett enkelt och säkert sätt? sten.arvidson@foreningssparbanken.se Affärer på nätet behöver generella och lättillgängliga lösningar för konsumenterna Idag olika metoder

Läs mer

Smarta sätt att modernisera din webbplats för SiteVision Cloud!

Smarta sätt att modernisera din webbplats för SiteVision Cloud! Smarta sätt att modernisera din webbplats för SiteVision Cloud! Tomas Ericsson, CISSP-ISSAP IT- och informationssäkerhetsarkitekt. Arbetat mer än 20 år med IT- och informationssäkerhetsarkitektur. Har

Läs mer

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Identifieringstjänst. del av projektet Infrastruktur 2.0 2014-05-13

Identifieringstjänst. del av projektet Infrastruktur 2.0 2014-05-13 Identifieringstjänst del av projektet Infrastruktur 2.0 2014-05-13 Identifieringstjänst Innehåll: Vad är ett SITHS-kort? Vad används SITHS-kort till? Varför kan man lita på SITHS-kort? SITHS konceptet

Läs mer

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå

Seminariespår 3. Elektronisk signering nuläge, nyläge och ambitionsnivå Seminariespår 3 Elektronisk signering nuläge, nyläge och ambitionsnivå Seminariespår 3 - Upplägg Introduktion Nils Fjelkegård, E-legitimationsnämnden E-tjänsternas behov av elektroniska underskrifter,

Läs mer

http://iwww.rsv.se:82/samset/myndigh_anv.html

http://iwww.rsv.se:82/samset/myndigh_anv.html Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Ett login. Hela vägen. med Meridium PortalShell och MobilityGuard

Ett login. Hela vägen. med Meridium PortalShell och MobilityGuard Ett login. Hela vägen. med Meridium PortalShell och MobilityGuard Med Meridium PortalShell och MobilityGuard får du en gemensam ingång Möjligheten att förse alla intressenter med anpassad och relevant

Läs mer

Manual inloggning Svevac

Manual inloggning Svevac 1. Dokumentinformation 1.1 Versionshistorik Version Datum Beskrivning av ändringar Författare 0.1 2014-06-09 Skapad Ingela Linered 0.2 Uppdaterad Ingela Linered 0.3 2014-09-22 Uppdaterad med nya sätt för

Läs mer

Underlag till referensgruppens möte 2015-01-27

Underlag till referensgruppens möte 2015-01-27 Underlag till referensgruppens möte 2015-01-27 Plats: SE, Ringvägen 100, plan 9, Stockholm ELLER via telefonkonferens tel. 08-999212, kod 322134 Närvarande: Anna Mybeck, Lerums kommun Lina Hjorter, Härryda

Läs mer

Frågor i avslutande workshop Huvudtema. Identifikationsfederationer för vad och vilka? Rolf Lysell, rolf.lysell@innotiimi.se

Frågor i avslutande workshop Huvudtema. Identifikationsfederationer för vad och vilka? Rolf Lysell, rolf.lysell@innotiimi.se Frågor i avslutande workshop Huvudtema Identifikationsfederationer för vad och vilka? Rolf Lysell, rolf.lysell@innotiimi.se Fråga 1 Hur identifiera och etablera federationer över organisationsgränser?

Läs mer

Identitetsfederationer

Identitetsfederationer Identitetsfederationer Internetdagarna 2007 Leif Johansson Stockholms universitet Que? En [identitets]federation är en klubb av klubbar där medlemmarna kommit överens om hur man ska lita på varandras medlemmar.

Läs mer

Verksamhetsplan med aktiviteter drifts- och servicenämnd 2014

Verksamhetsplan med aktiviteter drifts- och servicenämnd 2014 sid 1 (6) DRIFTS- OCH SERVICENÄMNDEN IT-enheten Tjänsteyttrande verksamhetsplan med aktiviteter för drifts- och servicenämnden Charlotta Bodin, 054 540 10 07 charlotta.bodin@karlstad.se 2014-01-07 Verksamhetsplan

Läs mer

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se S Stockholm Skolwebb Information kring säkerhet och e-legitimation för Stockholm Skolwebb Innehållsförteckning Säkerhet i Stockholm Skolwebb... 3 Roller i Stockholm Skolwebb... 3 Hur definieras rollerna

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

SITHS inloggning i AD

SITHS inloggning i AD SITHS inloggning i AD Inloggning med grafiskt gränssnitt kräver Windows 7 eller Vista Med PassThrough Gina for Windows och NetID version 5.5.0.27 För att logga in i en Windows domän med hjälp av SITHS-kort

Läs mer

Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg

Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg Att låta verkligheten möta teorin Gemensamt tjänstekort i Gävleborg Införa smarta kort med PKI i enlighet med vårdens branschstandard SITHS (Säker IT I Hälso och Sjukvård) Projektet Gemensamt tjänstekort

Läs mer

E-tjänst över näringsidkare

E-tjänst över näringsidkare E-tjänst över näringsidkare Slutrapport Datum: 2011-01-27 Version: 1.0 Upprättad av: Monica Grahn Innehållsförteckning 1. E-tjänst över näringsidkare noden...1 1.1 Sammanfattning 1 1.2 Bakgrund 1 2. Användningsfall...1

Läs mer

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL Kvalitetsregister & Integritetsskydd Patrik Sundström, jurist SKL Varför finns det ett regelverk för nationella kvalitetsregister? - Många känsliga uppgifter - Om många människors hälsa - Samlade på ett

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24. Copyright (c) 2014 IIS Testning av Sambi Testplan Version PA12 Fil namn: SAMBI_TP.docx Senast sparad: 2014-11- 24 Copyright (c) 2014 IIS Dokument kontroll Dokument information och säkerhet Skapad av Faktaansvarig Dokumentansvarig

Läs mer

2 Pappersfullmakter/Skannade fullmakter

2 Pappersfullmakter/Skannade fullmakter 2014-12-18 2015-01-14 Frågor och svar 1 Fullmaktstyper 1.1 Vilka fullmaktstyper ska Fullmaktskollen hantera? Fullmaktskollen kommer initialt att utgå ifrån sex standardiserade fullmakter. Pappersfullmakter

Läs mer

Behövs en nationell samordning? Carelink

Behövs en nationell samordning? Carelink Carelink SITHS Behövs en nationell samordning? Carelink Apoteket AB Svekom Lf Vårdföretagarna SoS KOMMUNER LANDSTING PRIVATA VÅRDGIVARE Carelink organisation CARELINK INTRESSEFÖRENING Gemensam STYRELSE

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

2009-06-11 SIDAN 1. Stockholms stad. Nationell IT-strategi för. Tillämpning för. vård och omsorg

2009-06-11 SIDAN 1. Stockholms stad. Nationell IT-strategi för. Tillämpning för. vård och omsorg 2009-06-11 SIDAN 1 Nationell IT-strategi för vård och omsorg Tillämpning för Stockholms stad BAKGRUND OCH FÖRUTSÄTTNINGAR 2009-06-11 SIDAN 2 Bakgrund Hösten 2006 beslutades att en beställarfunktion skulle

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Rapport. Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk 2010-09-08. Version 1.

Rapport. Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk 2010-09-08. Version 1. Rapport Kommunernas ansvar för externa utförares tillgång till ITsystem som driftas utanför kommunens nätverk Version 1.0 2010-09-08 Innehållsförteckning 1 Inledning... 3 1.1 Bakgrund...3 1.2 Syfte...3

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

2-faktor autentisering

2-faktor autentisering 2-faktor autentisering Ladok-Inkubatordagar 23-24/10 KTH Joakim Nyberg ITS Umeå universitet Projektet 2-faktor autentiserings projektet är ett fortsatt arbetet från Swamids tidigare arbete inom 2-faktor.

Läs mer

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 1 Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 2 1 Innehåll 2 Bakgrund - EK... 3 2.1 Vad är EK... 3 2.2 Tillämpningar för EK... 4 3 Bakgrund - etjänstekort... 5 3.1

Läs mer

Portalinloggning SITHS HCC och Lösenordsbyte manual

Portalinloggning SITHS HCC och Lösenordsbyte manual 1 (13) och Lösenordsbyte manual 2 (13) Innehåll 1 Versioner...3 2 Bilagor...3 3 Syfte...4 4 Förutsättningar...4 5 Installation SITHS HCC...5 5.1 Installation SITHS HCC på kort...5 5.1.1 NetID självadministration...5

Läs mer

torsdag 17 oktober 13 IT's a promise

torsdag 17 oktober 13 IT's a promise IT's a promise 2 Enkelt att komma igång med skolfederation och så här olika kan det bli! Nexus Group Patrick Zangaro Pulsen 3 Skolfederation 4 Skolfederation - Är det något att satsa på? Följa med eller

Läs mer

2009-11-16 Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen. www.siths.se siths@sjukvardsradgivningen.se

2009-11-16 Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen. www.siths.se siths@sjukvardsradgivningen.se SITHS 2009-11-16 Helen Sigfast Tomas Ahl Thomas Näsberg Sjukvårdsrådgivningen www.siths.se siths@sjukvardsradgivningen.se 1 Agenda om SITHS Bakgrund och nuläge SITHS användningsområden SITHS anslutning

Läs mer

SKL. 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman

SKL. 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman SKL 1. Vad gör vi bra idag? 2. Vad kan vi göra bättre? Brittmarie Boman IT-chef Avdelningen för tillväxt och samhällsbyggnad Sveriges Kommuner och Landsting 08-452 74 26 Brittmarie.boman@skl.se 1 Vervas

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Smarta kort Ett koncept många vinnare!

Smarta kort Ett koncept många vinnare! 1 Smarta kort Ett koncept många vinnare! Anders Siljeholm SML-IT Stefan Runneberger nexus Simon Thomas - nexus 2 Nuläge för de flesta: Flera olika ID-lösningar: ID-kort, RFID-taggar, SITHSkort, besökssystem

Läs mer

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0 Direktkoppling till Girolink Internet Filöverföring av betalningar och betalningsinformation via Girolink Internet Version 1.0 Maj 2007 Innehållsförteckning 0. DOKUMENTHISTORIK 1 ALLMÄNT - DIREKTKOPPLING

Läs mer

Så enkelt som möjligt för så många som möjligt.

Så enkelt som möjligt för så många som möjligt. Så enkelt som möjligt för så många som möjligt. Mål En enklare vardag för medborgare Öppnare förvaltning som stödjer innovation och delaktighet Högre kvalitet och effektivitet i verksamheten Vad gör E-delegationen?

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Certifikat. svensk vård och omsorg HCC

Certifikat. svensk vård och omsorg HCC Certifikat för svensk vård och omsorg HCC Version 2.35 1 (29) Innehåll 1 INLEDNING... 3 2 HCC PERSON... 4 2.1 ÖVERSIKT HCC PERSON... 5 2.2 HCC PERSON, ATTRIBUT FÖR ATTRIBUT... 6 2.3 ÖVERSIKT HCC PERSON

Läs mer

Sociala medier+juridik=sant. Lena Olofsson E-delegationen

Sociala medier+juridik=sant. Lena Olofsson E-delegationen Sociala medier+juridik=sant Lena Olofsson E-delegationen Så enkelt som möjligt för så många som möjligt. Vilka ingår? 16 myndigheter och SKL samverkar Delegationen beslutar Arbetsgruppen bereder Projektgrupper

Läs mer