Analys av Svensk e-legitimation

Relevanta dokument

MSB:s arbete med samhällets informationoch cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Geodata utvecklar e-förvaltningen

Analys och hantering av rapport från MSB - Analys av informationssäkerheten i Svensk e-legitimation

2016 går offentlig sektor över till Svensk e-legitimation EUROPOINT

MSB roll och uppgift i stort och inom informationssäkerhet

Analys och hantering av rapport från MSB - Analys av informationssäkerheten i Svensk e-legitimation

E-legitimationsnämnden Nils Fjelkegård SOLNA. Stockholm

Säkerhet i industriella informations- och styrsystem

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Hur jobbar MSB med inriktnings och samordningsfunktion? 1 oktober, 2015

Lagen om extraordinära händelser. Helen Kasström, MSB

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Patientsäkerhetsberättelse för. Falkenberg LSS1, Nytida AB. År Catharina Johansson

IT-Strategi. för Munkfors, Forshaga, Kils och Grums kommun. IT-Strategi. Kommunsamverkan Grums, Forshaga, Kil och Munkfors Utfärdad av

Årsberättelse SOLNA Korta gatan

E-tjänst över näringsidkare

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Utbildningsdag om informationssäkerhet

Vetenskapsrådets informationssäkerhetspolicy

2014 års patientsäkerhetsberättelse för Villa Agadir

2015 års patientsäkerhetsberättelse och plan för 2016 Daglig Verksamhet Falkenberg Nytida AB

Säkerhet bygger man in, man skruvar inte dit den efteråt - eller?

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

2015 års patientsäkerhetsberättelse och plan för 2016 för Lenagårdens behandlingshem

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Antagen av kommunfullmäktige Säkerhetspolicy för Enköpings kommuns verksamheter

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

2014 års patientsäkerhetsberättelse för Kvarngården.

Krissamverkan Gotland

Patientsäkerhetsberättelse

Hammarö kommun. Bilaga till Samgranskning äldreomsorg och läkemedel. Advisory Offentlig sektor KPMG AB Antal sidor: 4

Riktlinjer för synpunkts- och klagomålshantering inom Hedemora kommuns vård och omsorg

Betänkandet En ny säkerhetsskyddslag (SOU 2015:25)

Larm och samverkansplattform för kommunikation och lägesuppfattning för den svenska beredskapen vid nukleära olyckor

Patientsäkerhetsberättelse Hélène Stolt Psykoterapi & Ledarskap AB

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Regional IT-samverkan i Östergötland

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Finansieringsprinciper

Tjänsteskrivelse 1 (2) Handläggare Datum Beteckning. Kommunrevisionen MISSIVSKRIVELSE

Kommunstyrelsens reglemente

Mål för att minska miljöpåverkan från Västra Götalandsregionens

Uppföljning Proffssystern i Stockholm AB

Rapport. Arbete med arbetsmiljön på sysselsättningsenheten Genomförd på uppdrag av de förtroendevalda revisorerna i Finspångs kommun

RAPPORT. Översyn av anhörigstödet i Nacka Annika Lindstrand

Förordning med instruktion för Socialstyrelsen

Skolinspektionens uppdrag Skolinspektionen granskar förskolan. Skolinspektionen

Policy för informationssäkerhet

Landstingsstyrelsens förslag till beslut

RISK- OCH SÅRBARHETSANALYS

Tal till Kungl. Krigsvetenskapsakademien

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Riktlinjer för systematiskt brandskyddsarbete (SBA) Socialförvaltningen. Antagna av SN:

Ledningssystem för systematiskt kvalitetsarbete

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Anslutning till Mina meddelanden

REGEL FÖR HÄLSO OCH SJUKVÅRD I SÄRSKILT BOENDE OCH DAGLIG VERKSAMHET ENLIGT LSS. LEDNINGS- OCH YRKESANSVAR

Informationssäkerhetspolicy

Konferens om landstingens krisberedskap Utvecklingen av det civila försvaret. Magnus Dyberg-Ek Avdelningen för Utvärdering och lärande

Informationssäkerhetspolicy för Vetlanda kommun

Nödlägesberedskap och miljöriskinventering

Tillsyn av vårdgivarens systematiska patientsäkerhetsarbete vid den allmänpsykiatüska slutenvården i Malmö.

AVLÖSARSERVICE i hemmet LSS INTERN KRAVSPECIFIKATION Antagen av Vård- och omsorgsnämnden den 26 maj 2011 ( 62) Gäller from 1 januari 2012

Meddelandeblad. Medicinskt ansvarig sjuksköterska och medicinskt ansvarig för rehabilitering

Informations- och cybersäkerhet - Med fokus på processindustrin. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Granskning av bisysslor. 25 september 2013

Svar på skrivelse från Österåkers kommuns revisorer gällande den psykosociala arbetsmiljön

Samhällets informationssäkerhet

Vision för en psykiatrisamverkan i Världsklass 2015 strategisk samverkan i Örnsköldsvik

Plattform för skyddad informationshantering. Presentation på Rönneberga gård Torsdagen den 10 maj 2012

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Heby kommuns författningssamling

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

2014 års patientsäkerhetsberättelse för Grönskogens äldreboende

Stora pågående arbeten

Informationssäkerhet i regional samverkan! Nr 11 & 12, 2015 Månadsbrev november & december 2015

Patientsäkerhetsberättelse

TRYGGHETSARBETET 2 : 1 TRYGGHETSARBETET

Sociala nämndernas förvaltning Dnr: 2015/166-ÄN-702 Cecilia Tollbom Lindh - ay340 E-post: cecilia.tollbom.lindh@vasteras.se.

FÖRETAGSPOLICY FÖR BOLAG ÄGDA AV ANEBY KOMMUN

Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet

Vilket stöd behövs för att förbättra säkerhetskulturen? Karin Sundh-Nygård, Arbetsmiljöverket 5 februari 2013

Återrapportering av genomförda aktiviteter enligt handlingsplan för ett säkrare Internet i Sverige

VÄLFÄRDSFÖRVALTNINGENS LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE ENLIGT SOSFS 2011:9

Riktlinjer för kooperativet Hand i hands arbetsmiljöarbete

PROGRAM FÖR GEMENSAMMA INSATSER

Vad tittar man på vid tillsyn av en Farlig verksamhet? Markus Glenting Brandingenjör LTH

Projektplan för En säkrare Sevesotillsyn, godkänd av styrgruppen

Kvalitetsberättelse 2015 Medihead

för identitetsfederationer för Svensk e-legitimation

Humanas Barnbarometer

1(8) Kommunal hälso- och sjukvård. Styrdokument

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal Anders Pålhed

Informationssäkerhetspolicy inom Stockholms läns landsting

SJÄLVMORDSTANKAR, SJÄLVMORDSFÖRSÖK OCH SJÄLVMORD

Insyn och tillsyn av fristående förskoleverksamhet, skolbarnomsorg och grundskolor

Tjänsteavtal för ehälsotjänst

Revisionsrapport Granskning av kommunens företagshälsovård. Krokoms kommun

LESSEBO KOMMUN SAMMANTRÄDESPROTOKOLL Sida

Transkript:

Analys av Svensk e-legitimation Lars Grundström : lars.grundstrom@msb.se : 076 105 86 56 Gustav Söderlind : gustav.soderlind@msb.se : 070 565 27 48 Verksamheten för samhällets informationoch cybersäkerhet

MSB:s vision Ett säkrare samhälle i en föränderlig värld

Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Informationssäkerhet 11 a Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer. Myndigheten ska även rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan leda till behov av åtgärder inom olika nivåer och områden i samhället. Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter. Myndigheten ska i detta arbete 1. agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade, 2. samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet, och 3. vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa. Förordning (2010:1901).

Verksamheten för samhällets informations- och cybersäkerhet Verksamhetschef: Richard Oehme Strategiskt stöd Enheten för systematiskt informationssäkerhetsarbete Enhetschef: Fia Ewald Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur Enhetschef: L-G Emanuelson Enheten för operativ cybersäkerhet och itincidenthantering Nationell operativ samverkansfunktion för informations- och cybersäkerhet (NOS) CERT-SE Enhetschef: A-M Alverås-Lovén

Hur arbetar MSB inom området informationoch cybersäkerhet Policy och inriktning Strategi, Handlingsplan, Föreskrifter, Analys Stöd till verksamheters m.fl. förebyggande Informationssäkerhetsarbete - Förebyggande informationssäkerhets arbete - Kritisk informationsinfrastruktur SCADA-frågor - Kommunikationssäkerhet - e-utveckling - Vård- och omsorg - Standardisering - Medvetandehöjning - RSA förmågebedömning informationssäkerhet - Utbildning & FoU Respons och hanterarfrågor - Nationell operativ samverkansfunktion (NOS) - Nationell responsplan - CERT-SE - Övningar

Bakgrund Begäran av tre myndigheter MSB:s uppdrag stödja och samordna arbetet med samhällets informationssäkerhet lämna råd och stöd i fråga om förebyggande arbete Metod: komparativ och scenarioanalys Att analysera ett komplext och omfattande system kräver samverkan med andra experter

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast halvårsskiftet 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/6 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

Övergripande rekommendationer (1/2) Ytterligare strategisk teknisk kompetens, direkt eller genom stöd från expertmyndigheter Genomgång av hela systemet, utifrån ett informationssäkerhetsperspektiv, när det driftsatts, vid större förändringar samt regelbundet Bör överväga kravställning innebärande att handlingar som ska skrivas under presenteras på tillförlitligt sätt för användare

Övergripande rekommendationer (2/2) Myndigheter som erbjuder e-tjänster gör grundläggande behovsanalys innan tjänsten tas i bruk Riskanalys av tjänster som exponeras Informationsklassificering av de informationstillgångar som ingår i tjänsten Resultat kan t.ex. leda till krav på LOA nivå för legitimering Behov sidokanaler (t.ex. sms eller mejl) m.m.

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/6 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

Regler och avtal för Svensk e- legitimation (1/2) Definiera minimikrav på säkerhet i formuleringar som ger utrymme för tolkning och subjektiva bedömningar (ex. god branschpraxis) Plan för framtida utveckling där krav från relevanta aktörer beaktas Utöka information till förlitande parter med riskinformation Användargränssnitt som ger liknande upplevelse vid inloggning respektive vid signering

Regler och avtal för Svensk e- legitimation (2/2) E-legitimationsnämnden bör verka för Framtagande av riktlinjer för oavvislighet Riktlinjer för att DoS/DDoS hanteras i alla lager och underliggande system (internetaccess, nätverk, applikationslogik, databaser m.m.) Regelbunden och tydligare granskning och kontroll som följer en strukturerad metodik Överväga tillsyn i alla delar

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/6 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

Kryptoalgoritmer Löpande utvärdering av kryptolösningar och uppgradera vid behov Löpande se över dokumentationen

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/6 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

SAML-kravställning Utgångspunkt scenarioanalys Rekommendation att E-legitimationsnämnden genomför riskanalys och vidtar åtgärder för att hantera identifierade risker Fyra rekommendationer kopplade till SAML implementationen. Avsikt att stärka säkerheten i systemet genom minska risken aktörer av misstag ökar sårbarheten vid systemimplementation

Analysresultat 22 rekommendationer till E- legitimationsnämnden och myndigheter Genomföras senast 30/6 2016 Övergripande rekommendationer Regler och avtal för Svensk e-legitimation Kryptoalgoritmer SAML-kravställning Central infrastruktur

Central infrastruktur Heltäckande säkerhetsgranskning av oberoende tredje part bör genomföras (arkitektur, implementation, hårdvara och mjukvara) Säkerställa väldefinierad och publicerad process för godkännande, verifiering och driftsättning (lika vid varje tillfälle) I högre grad peka på standarder och best practices inom informationssäkerhetsområdet

Sammanfattning MSB anser att det är viktigt att alla deltagande aktörer aktivt bidrar till att utveckla säkerheten i federationen, bl.a. genom att genomföra: informationsklassificering riskanalys