Tillitsramverk och Kantara Revision enligt Kantara IAF

Transkript

1 Tillitsramverk och Kantara Revision enligt Kantara IAF Björn Sjöholm Europoint Networking

2 Björn Sjöholm Konsult på Europoint specialiserad inom: Informationssäkerhet IT-säkerhet IT-revision M.Sc., CISSP, CISA, CISM, CGEIT, CRISC, PCI QSA (P2PE), PA-QSA

3 Agenda Tillitsramverk Kantara Revision enligt Kantaras regelverk

4 Tillitsramverk

5 Tillitsramverk Tillitsramverk definierar vad som krävs för att lita på en elektronisk identitet och dess behörighetshantering

6 Exempel på tillitsramverk Kantara IAF E-legitimationsnämnden ISO tscheme STORK Skolfederationen

7 Kantara IAF Kantara Identity Assurance Framework

8 Kantara IAF Krav på organisation och tekniska lösningar för identitetshantering Baserat på öppna standarder (bl.a. NIST SP ) Regelverk för hur revision av organisationer och tjänster ska gå till

9 Organisation Kantara är grundat ur Liberty Alliance (Identity Assurance Framework) och har ett antal medlemar IEEE ISTO är huvudman Kantara Identity Assurance Framework (IAF) Privacy Privacy Assessment Criteria (PAC) Federation Interoperability

10 Assurance Review Board (ARB) Kantara godkänner Credential Service Providers (CSPs), och Assessors (revisorer)

11 Kantara IAF Kantara IAF-1000 Overview Kantara IAF-1100 Glossary Kantara IAF-1200 Levels of Assurance Kantara IAF-1300 Assurance Assessment Scheme Kantara IAF-1400 Service Assessment Criteria Kantara IAF-1600 Assessor Qualifications and Requirements

12 NIST SP Federal amerikansk standard Tekniskt ramverk för: Registrering och verifiering av identiteter Autentiseringsprotokoll Autentiseringsmekanismer (mjuk- och hårdvara) Hantering av identiteter (utgivning, lagring, revokering, etc.) Fyra förtroendenivåer med ökande krav per nivå

13 Förtroendenivåer Nivå 1: 1-faktors autentisering, ingen verifiering av identiteten krävs Nivå 2: 1-faktors autentisering, identiteten verifieras med ID-kort, bankkonto, bostadsadress eller liknande Nivå 3: 2-faktors autentisering (mjukvara räcker) Nivå 4: 2-faktors autentisering med hårdvara, användaren måste vara fysiskt närvarande för identifiering

14 Service Assessment Criteria (SAC) Krav för organisationen (CO-SAC) Krav för identitetsverifiering (ID-SAC) Krav för hantering av credentials (CM-SAC) Olika krav för nivå 1 till 4 där nivå 1 är lägsta nivån

15 Exempel på krav (CO-SAC) AL2_CO_ISM#050 Configuration Management Demonstrate that there is in place a configuration management system that at least includes: a) version control for software system components; b) timely identification and installation of all organizationallyapproved patches for any software used in the provisioning of the specified service

16 Exempel på krav (ID-SAC) AL2_ID_POL#020 Unique subject identity Ensure that each applicant s identity is unique within the service s community of subjects and uniquely associable with tokens and/or credentials issued to that identity

17 Exempel på krav (CM-SAC) AL3_CM_CRN#070 Hardware token strength Ensure that hardware tokens used to store cryptographic keys: a) employ a cryptographic module that is evaluated against FIPS Level 1 or higher, or equivalent, as established by a recognized national technical authority; b) require password or biometric activation by the subscriber or also employ a password when being used for authentication

18 Revision enligt Kantara IAF

19 Allmänt om revision Revision görs för att säkerställa att en organisation följer krav eller en standard Kan ske mot En specifik standard Lagkrav och andra regulatoriska krav Organisationens egna krav Best practice

20 Hur arbetar revisorn Är det inte dokumenterat så finns det inte Organisationen som revideras ska visa kravuppfyllnad Revisorn söker bevis för faktiska omständigheter

21 Bevis Dokumentation Processbeskrivningar Tekniska loggar och konfigurationer Protokoll Intervjuer, minnesanteckningar Observationer av handhavande Observationer av tekniska och fysiska lösningar

22 Dubbla beviskrav Organisationen ska visa kravuppfyllnad Revisorn ska styrka revisionen

23 Revision enligt Kantaras regelverk Mål: En organisation vill få en tjänst certifierad som Kantara Approved Service Revisionen måste göras av en ackrediterad Kantara-revisor (assessor) En Kantara-revisor är godkänt för ett område (jurisdiction)

24 Godkända revisorer Accredited Assessor Contact ID Levels of Assurance Conditio ns Jurisdictio n Deloitte & Touche LLP Ray Kimble AA ,2,3 and 4 None USA CANADA evalid8 Brian Dilley AA ,2,3 and 4 None USA Electrosoft Scott Shorter AA ,2,3 and 4 None CANADA USA EUROPE Europoint Patrik Rosqvist AA ,2,3 and 4 None SWEDEN Zygma Richard Wilsher AA ,2,3 and 4 None USA

25 Revisionsdokument Service Provider Agreement (SPA) Avtal där organisationen förbinder sig att följa Kantaras regelverk Specification of Services Subject to Assessment (S3A) Detaljerad beskrivning av hur organisationen och tjänsten uppfyller kraven i SAC Kantara Assessment Report (KAR) Revisionsrapport med resultat (godkänd, godkänd med förbehåll, underkänd)

26 Specification of Services Subject to Assessment (S3A) Beskrivning av organisationen och tjänsten uppfyller kraven i SAC Två versioner: Outline S3A utan konfidentiell information (för Kantara) Full S3A fullständig version (för revisorerna)

27 Revisionsprocess Ansökande organisation, myndighet eller företag 1. Ansökan (SPA, Outline S3A) 2. Ansökan godkänd 5. KAR skickas till ARB 6. Beslutar om godkännande 7. Tjänsten blir Kantara Approved Service Ackrediterad Kantara-revisor

28 Genomförande Ansökande organisation beskriver kravuppfyllnad (S3A) Kantara ARB godkänner ansökan i sig Revisor validerar Granskar S3A och validerar faktiska omständigheter Bekräftar kravuppfyllnad (KAR) Kantara ARB godkänner Kantara approved service

29 Kantara i Europa Vilken nytta har europeiska myndigheter, organisationer och företag av Kantara? Europoint är första företag i Europa att bli certifierad Kantara-revisor

30 Mer info Europoint Kantara

31 Revision enligt Kantara IAF Frågor?