Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Transkript

1 Säkerhet och Tillit vid elektronisk identifiering? Fredrik Ljunggren

2 Internationella tillitsramverk OMB M-04-04/NIST SP STORK QAA Kantara IAF ISO/IEC 29115

3 Identifiering och registrering - Ansökan och information om villkor - Fastställande av sökandens identitet - Verifiering av sökandens personuppgifter Utfärdande av e-legitimation - Utformning av tekniska hjälpmedel - Tillhandahållande av e-legitimationshandling - Giltighetstid och förnyelse - Spärrtjänst Organisation och styrning - Verksamhetsform - Efterlevnad av lagar och regler - Informationssäkerhet - Villkor för underleverantörer - Teknisk driftmiljö - Handlingars bevarande - Granskning och uppföljning Verifiering av elektronisk identitet - Utgivning av identitetsintyg - Intygs giltighetstid - Skydd av kommunikation

4 1999/93/EC De fyra tillitsnivåerna STORK QAA Kantara IAF e förvaltningsaspekter ISO (M-04-04) allmän vägledning NIST SP Metoder för kravuppfyllnad Ackreditering & Certifiering

5 Tillitsramverk omvärldsutblick, USA 2003: OMB M Fyra tillitsnivåer: LoA 1 ingen eller liten tilltro till identiteten LoA 2 viss tilltro till identiteten LoA 3 hög tilltro till identiteten LoA 4 mycket hög tilltro till identiteten

6 Konsekvenser vid ett eventuellt säkerhetsbrott Olägenhet, oro eller ryktesskada Finansiell skada eller skadeståndsansvar Röjande av känslig information till obehöriga Civilt- eller straffrättsligt brott Skada på verksamhet eller allmänintresse Personsäkerhet Tillitsnivå begränsade måttliga betydande svåra

7 Tillit inom Skolfederation.se Allmänna krav på parterna Ska bedriva ett strukturerat informationssäkerhetsarbete, innefattande: Definiera roller och ansvar Sörj för rätt kompetens Säkerställ incidenthantering Utvärdera och hantera risker Uppföljning och internkontroll

8 Tillit inom Skolfederation.se LIS i Miniatyr Definiera roller och ansvar Sörj för rätt kompetens Säkerställ incidenthantering Utvärdera och hantera risker Uppföljning och internkontroll

9 Ledningssystem för Informationssäkerhet (LIS) Rätt säkerhet, inte nödvändigtvis hög säkerhet Ordning och reda Kontinuerligt förbättringsarbete Starka paralleller med Ledningssystem för Kvalitet (ISO 9001)

10 MSBFS 2009:10 6 En myndighets arbete enligt 4 och 5 ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet; Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001: 2006 fastställd ), och Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd ).

11 Tillit inom Skolfederation.se Specifika krav på parterna Fysisk skydda system och informationsbärare Säkerställa urprunget av varje transaktion (spårbarhet) Ska hålla registrerade uppgifter aktuella Använda kryptering där så kan och behövs

12 1 Inledning 1.1 Beskrivning av verksamheten 1.2 Kontaktuppgifter 2 Personuppgifter 2.1 Användares ansvar Mall för skolhuvudman 3 Ledning och styrning 3.1 Informationssäkerhet 3.2 Incidenthantering 3.3 Handlingars bevarande 3.4 Kontroll och granskning 4 Hantering av elektroniska identiteter och attribut 4.1 Identifiering och registrering 4.2 Utfärdande och spärr av elektronisk identitet 4.3 Utgivning av elektroniska intyg 5 Fysisk säkerhet samt spårbarhet 5.1 Fysisk säkerhet 5.2 Spårbarhet 6 Tekniska säkerhetskontroller 6.1 Hantering av kryptografiskt nyckelmaterial 6.2 Systemsäkerhet

13 1 Inledning 1.1 Beskrivning av tjänsten 1.2 Kontaktuppgifter 2 Personuppgifter 2.1 Användares ansvar Mall för e-tjänstleverantör 3 Ledning och styrning 3.1 Informationssäkerhet 3.2 Incidenthantering 3.3 Handlingars bevarande 3.4 Kontroll och granskning 4 Fysisk, administrativ och personorienterad säkerhet 4.1 Fysisk och miljörelaterad säkerhet 4.2 Personorienterad säkerhet 4.3 Spårbarhet 5 Tekniska säkerhetskontroller 5.1 Hantering av kryptografisk nyckelmaterial 5.2 Systemsäkerhet 5.3 Nätsäkerhet

14 Tillitsdeklarationen Att ge granskningsgruppen en bild av i vilken utsträckning kraven är uppfyllda Använd mallarna som checklista, beskriv avvikelser Måste inte vara perfekt

15