Förvaltningsforum 20 maj maj

Transkript

1 Förvaltningsforum 20 maj maj

2 Agenda 1. Status i arbetet med Svensk e-legitimation 2. Statusrapport från undergrupperna 3. Presentation av nämndens rutin för leveransgodkännande 4. Beslut kring deltagare i granskningsgruppen 5. Incidenthantering Presentation av ett troligt scenario 6. Kapacitetsplanering i federationen Presentation av statistik från Utvecklingsplan och ändringshantering Information om arbetet med förändringar i regelverket 8. Övriga frågor 28 maj

3 Status Svensk e-legitimation Kammarkollegiet har anslutit sig Bankernas anslutning Intressentmöte den 10 juni Telia har startat ett projekt för anslutning till Svensk e-legitimation Nämnden upphandlar en intygstjänst Övergångslösning innan semestrarna Hantering av MSBs rekommendationer 28 maj

4 Plattform för dokumentdelning och samverkan o Projektplatsen E-legitimationsnämnden nu tillgänglig o Mapp för Förvaltningsforum och behörighetsstyrda undermappar till arbetsgrupperna 28 maj

5 Statusrapport från undergrupperna INFORMATIONSSÄKERHET- OCH TEKNIK 28 maj

6 Varit - Möten 20/3-15 Telefonmöten 8/4, 9/4 och 13/4 Behandlade förslag till förändringar i tekniskt ramverk vers april/maj 2015 Kommande 21/5 workshop med MSB och FRA 28 maj

7 Punkt 3 Presentation av nämndens rutin för leveransgodkännande 28 maj

8 Rutin för leverensgodkännande o Finns nu publicerad på webben ( o Rutin för leverensgodkännande 28 maj

9 Punkt 4 Beslut kring deltagare i granskningsgruppen 28 maj

10 Punkt 5 Incidenthantering 28 maj

11 Översikt av inrapporterade incidenter o Månadsrapport för Federationstjänster o April o Mall för incidentrapportering o Förslag framtaget o Beskrivning av rapporteringsflöden o Nästa bild 28 maj

12 Rapporteringsflöden Alla rapporteringspliktiga parter Incidentrapport (via telefon och skriftlig enligt mall). Löpande återkoppling från kundtjänst Federationens kundtjänst Leverantörer av eid-tjänst och Utfärdare av Svensk e-legitimation Rapporteringspliktiga incidenter enligt regelverket, Bilaga J Rapporteringsrutiner. Månadsvis sammanställning av rapporterade incidenter Allvarlig säkerhetsincident Kvartalsvis sammanställning av rapporterade incidenter Allvarliga säkerhetsincidenter och Allvarliga driftstörningar ska rapporteras utan dröjsmål Förvaltningsforum Återkoppling på incidentrapporter Federationsoperatören 28 maj

13 Punkt 6 Kapacitetsplanering i federationen 28 maj

14 Kapacitetsplanering i federationen o Påbörjar förberedelser för 2016 tillsammans med federationsleverantören o Lantmäteriet har testat prognosmall o Synpunkter? 28 maj

15 Antal transaktioner per månad Statliga myndigheter Kommuner och landsting 28 maj

16 Totalt antal, både legitimering och underskrifter Skatteverket Försäkringskassan CSN Bolagsverket Transportstyrelsen Jordbruksverket Pensionsmyndigheten Arbetsförmedlingen Mina vårdkontakter Stockholm Sundsvall Sandviken Hultsfred Summor maj

17 Antal transaktioner e-leg maj

18 Underskrift för eink E-legitimation (kort/fil) Mobilt BankID * (gäller mobilappen och desktop) Säkerhetskod Telefon Sms Mobilapp med pinkod Totalt *) Enbart mobilappen maj

19 Punkt 7 Utvecklingsplan och ändringshantering 28 maj

20 Utvecklingsplan och ändringshantering o Förslag på utvecklingsplan (vidareutvecklat) o Synpunkter? o Ändringshantering av regelverket (ska beskrivas) o Förändringar av regelverket beslutas av nämnden o Beslutade förändringar paketeras i kommande releaser och dokumenteras i Releaseplan o Release Notes beskriver vad som ingår i respektive release 28 maj

21 Uppdateringar (adresserar rekommendation 15 och 19) TEKNISKT RAMVERK 28 maj

22 Tekniskt ramverk april/maj-version beslut 29/4-15 Krav på hur mottaget meddelande/intyg skall valideras och kontrolleras innan det accepteras av en SP (e-tjänst). En IdP (legitimeringstjänst) kan välja att kräva signerade AuthnRequestmeddelanden (legitimeringsbegäran) genom att indikera detta i sin metadata-post. Också en SP (e-tjänst) kan välja att skicka signerade AuthnRequest-meddelanden. På detta sätt möjliggörs en högre säkerhetsnivå, som dessutom kan initieras från både IdP- och SP-sidan. En SP skall inkludera ForceAuthn attributet i alla AuthnRequestmeddelanden och sätta dess värde till true eller false för att undvika icke önskvärd SSO. Förtydliganden för att skydda mot Man in the middle- och Man in the browser - attacker. En SP skall inte acceptera unsolicited responses (oombedda intyg). Se även sammanfattning av gjorda ändringar i respektive bilaga. 28 maj

23 Planerade ändringar juni 2015 Stöd för text att visa vid underskrift genom nya krav på underskriftstjänst. Krav på signerade request för underskriftstjänst. Stöd för Artifact binding för tjänster med högre säkerhetskrav. Bilaga Discovery within the Swedish eid Framework uppdaterad - ny version av Anvisningstjänsten inklusive lokalt integrerad. 28 maj

24 Planerade ändringar september 2015 Eventuella modifieringar av ramverket till stöd för högre säkerhetskrav och tillitsnivåer. 28 maj

25 Regelverket version 1.3 Förvaltningsforum, maj

26 Beslutade ändringar Tekniskt ramverk Följd av MSBs rekommendationer och arbete i undergrupp Redaktionella ändringar 28 maj

27 Kommande ändringar Införande av intygstjänsten Påverkar i huvudsak leverantörer och koppling legitimeringstjänst - identitetsintyg Ansvarsfrågor Övergångslösning Kommer att hanteras i avtalsoptioner (bilaga) Minimal påverkan på regelverket i övrigt Ev. ytterligare synpunkter från bankerna Bankjurister gör genomgång under sommaren 28 maj

28 Ändringsflödet - huvudregel Nämnden fattar beslut om ändringar av regelverk (3.4.1 Regelverket, 3 IFS 2014:1) Samrådsskyldighet före beslut (5 IFS 2014:1) Förvaltningsforum Rätt att delta följer av avtal Får kringgås om synnerliga skäl Ändringar underrättas genom (4 IFS 2014:1) Ändring träder i kraft enligt beslut, dock tidigast 180 dagar efter underrättelse 28 maj

29 Ändringsflödet undantag 1 Ändringar kan införas snabbare än 180 dagar om (3.4.5 Regelverket): samtliga parter samtycker, eller på grund av att ändringen eller tillägget uppenbart är av ringa betydelse eller på grund av säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl. 28 maj

30 Ändringsflödet undantag 2 Sakligt grundad invändning hindrar ändring (3.4.2 Regelverket) Enbart om ändring av Huvudtext, Bilaga A eller Bilaga C Inom 30 dagar från underrättelse Gäller inte om ändring nödvändig på grund av allvarliga säkerhetsskäl, ny författningsreglering, beslut av domstol eller annan myndighet eller annat särskilt skäl Grund till uppsägning 28 maj

31 Punkt 8 Övriga frågor 28 maj

32 Uppdragsbeskrivning (Rekommendation 10 och 20) UTKAST SÄKERHETSANALYS FEDERATIONSTJÄNSTER SVENSK E-LEGITIMATION 28 maj

33 Syftet med uppdraget är att utifrån en extern säkerhetsanalys få kunskap om de svagheter som finns i den centrala infrastrukturen. För att därefter kunna vidta de åtgärder som krävs för den typ av tjänster som den centrala infrastrukturen utgör. Innehållet i det som ska ingå i analysen ska tas fram utifrån ett riskbaserat synsätt. Säkerhetsanalysen ska göras av extern part. 28 maj

34 Effektmålen som ska uppnås är 1. Anslutna aktörer inom federationen ska känna tillit till lösningen. Uppnådda effekter ska mätas i enkäter till aktörer varje år från 2016 och framåt. Det ska ske i samverkan med myndigheter. 2. Användare av e-legitimationer ska känna tillit till Svensk e- legitimation samt sin e-legitimation. 3. Tillhandahållare av e-tjänst ska ha tillit till Svensk e-legitimation och kunna bedöma risker vid tillhandahållandet av en e-tjänst som innefattar elektronisk legitimering eller underskrift. 28 maj

35 Produktmål A. En lista över vilka delar som ska ingå i säkerhetsanalysen samt lämplig etappindelning. B. En rapport som visar resultatet från en genomförd säkerhetsanalys med förslag på åtgärder för att hantera identifierade svagheter och risker. C. En rapport som innehåller underlag som ska vara ingångsparametrar till riktlinjer för skydd mot överbelastningsattacker. 28 maj

36 Övriga förutsättningar Arbetet ska utföras av extern part. Analysarbetet ska bedrivas enligt fastställd metod. (?) En första milstolpe är att ta fram en plan för uppdraget. Fokus i arbetet ska vara det som fram kommit under produktmål A. För arbetets genomförande ska federationsleverantören vara behjälplig med information och kunskap om federationstjänsterna. 28 maj

37 Omfattning och tid Uppdraget ska starta senast 1 juni 2015 och vara avslutat senast 1 oktober maj

38 Vidareutveckling (text to be seen) UNDERSKRIFTSTJÄNST FÖR SVENSK E-LEGITIMATION 28 maj

39 Informationsblad maj om upphörande av EFST november 2015 Möten med leverantörerna maj Årsplan för arbetet i utkast Möten med leverantörerna nya ramavtalet efter sommaren. 28 maj

40 Månad April Aktivitet underskriftstjänst när resultat ska vara klart Årsplan Maj Kontakta EFST-leverantörer om att tjänstespec kommer att uppdateras och plan för detta inkl leveransprov Hur styra underskriftstjänsten i PT14IF Informationsblad till myndigheter om att göra avrop Juni Tjänstespecifikation uppdaterad Karta över stöd till myndigheter i deras process Plan över hur hantera/uppgradera gjorda avrop (Skv) Plan över hur närma sig PT14IF-leverantörerna samt styra och verifiera tjänster Juli Augusti Plan över hur informera myndigheter om PT14IF September Kontakta PT14IF-leverantörer om tjänstespec och verifiering av tillhandahållen tjänst Plan för testning EFST Plan för testning PT14IF Oktober Leveranskontroll EFST-leverantörer November Verifiering av tjänst från PT14IF-leverantörer December Information till myndigheter om PT14IF 28 maj