Säkerhet och Tillit i en identitetsfederation

Relevanta dokument
Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

BILAGA 1 Definitioner

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Svensk e-legitimation och eidas

BILAGA 1 Definitioner Version: 2.02

Tekniskt ramverk för Svensk e- legitimation

kirei E-legitimationsnämnden Kartläggning av internationella tillitsramverk Kirei 2012:09 14 juni 2012

Krav på identifiering för åtkomst till konfidentiell information

Tekniskt ramverk för Svensk e-legitimation

Apotekens Service. federationsmodell

BILAGA 3 Tillitsramverk Version 0.8

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Infrastruktur med möjligheter

ERFARENHETSUTBYTE KRING FEDERATIVA IDENTITETSLÖSNINGAR

Innehåll 1(14) Granskningsdokumentation

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

BILAGA 3 Tillitsramverk Version: 2.1

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

eidas och Svensk e-legitimation

BILAGA 3 Tillitsramverk Version: 1.2

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Tillitsramverk och Kantara Revision enligt Kantara IAF

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

BILAGA 2 Tillitsramverk Version 1.0

Skolfederation.se. KommITS

Strukturerat informationssäkerhetsarbete

Identitetsfederering etapp II Höga och låga observationer

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

Säkerhetsgranskning

E-legitimationsutredningen SOU 2010:104

Utveckling av Skolfederations tillitshantering

Federering i praktiken

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Frågor i avslutande workshop Huvudtema. Identifikationsfederationer för vad och vilka? Rolf Lysell, rolf.lysell@innotiimi.se

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Granskningsinstruktion och checklista för Tillitsdeklaration

Efos UtgivarForum

Tillitskrav för Valfrihetssystem 2017 E-legitimering

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Tillitsramverk för E-identitet för offentlig sektor

Normativ specifikation

Allmänna villkor för infrastrukturen Mina meddelanden

E-legitimeringssystemet - så här fungerar det och de här avtalen finns. Anna Månsson Nylén

Tillitsramverk för Svensk e-legitimation

Förfrågningsunderlag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Förstudierapport. Identitets- och behörighetsfederation för ehälsa

E-legitimationer i Sverige idag

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Tillitsramverk. Identifieringstjänst SITHS

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

Introduktion. September 2018

Avtal om Kundens användning av Identifieringstjänst SITHS

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

INTEGRITETSPOLICY ID06

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Skåne läns författningssamling

Allmänna villkor för infrastrukturen Mina meddelanden

BILAGA 2 Tekniska krav Version 0.81

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Svensk e-legitimation

Granskningsinstruktioner och checklista för Tillitsgranskare

Anslutningsavtal för medlemskap i Sambi

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Vad händer här och nu? E-legitimationsnämndens aktiviteter

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum

Förfrågningsunderlag

Årsberättelse Dnr /113

E-legitimationsdagen

Avtal om Kundens användning av E-identitet för offentlig sektor

Utblick Europa. Nils Fjelkegård E-legitimationsnämnden. 6 december

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Riktlinjer för informationssäkerhet

Tillitsramverk och granskning April 2014

Internetstiftelsen i Sverige.

Svensk e-legitimation. 7 mars

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Peter Falck IT-sektionen

Myndigheten för samhällsskydd och beredskaps författningssamling

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Dataskydd i Svea Bank

Transkript:

Säkerhet och Tillit i en identitetsfederation? 2012-02-15 Fredrik Ljunggren

En federerad identitet Inom informationsteknik är en federerad identitet en användaridentitet som kan användas inom flera olika organisationer, eftersom organisationerna har enats om hur man ska hantera identiteter över organisationsgränserna. Wikipedia

Identitetsfederationen Överenskomna regler för: skyldigheter, ansvar, rättigheter den elektroniska identitetens säkerhetsegenskaper tekniska specifikationer för hur kommunikationen mellan parterna fungerar

Identitetsfederationen Överenskomna regler för: skyldigheter, ansvar, rättigheter den elektroniska identitetens säkerhetsegenskaper tekniska specifikationer för hur kommunikationen mellan parterna fungerar

Tillitsmodellen leverantör av ID-tjänst Begär identifiering Avgör behörighet e-tjänst

Tillitsmodellen E-tjänsteleverantören avgör sitt eget skyddsbehov, baserat på konsekvenser vid fel och missbruk: Begär identifiering enligt vald skyddsnivå, Tillämpar eventuella ytterligare kontroller, Tar det yttersta beslutet om att genomföra en transaktion eller ej.

Tillitsmodellen omvärldsutblick, USA 2003: OMB M-04-04 Vägledning för elektronisk identifiering i federala myndigheters e-tjänster. Översättning av skyddsbehov till fyra tillitsnivåer LoA 1-4 (Level of Assurance). Mall för riskbedömning och val av LoA. Tvingande för alla federala myndigheters e-tjänster sedan 2006.

Tillitsmodellen omvärldsutblick, USA 2003: OMB M-04-04 Fyra tillitsnivåer: LoA 1 ingen eller liten tilltro till identiteten LoA 2 viss tilltro till identiteten LoA 3 hög tilltro till identiteten LoA 4 mycket hög tilltro till identiteten

Tillitsmodellen omvärldsutblick, USA 2003: OMB M-04-04 Varför flera nivåer? Användbarhetsskäl Effektivitetsskäl Kostnadsskäl

Tillitsmodellen omvärldsutblick, USA 2003: OMB M-04-04 En process i fem steg, e-tjänsten skall: Genomföra riskanalys Översätta identifierad risk till LoA Välja lämplig lösning - SP 800-63-1 Verifiera att lösningen uppfyller vald LoA Regelbunden uppföljning

Tillitsmodellen omvärldsutblick, USA 2003: OMB M-04-04 Pekar ut NIST SP 800-63 för att definiera säkerhetsegenskaper för respektive LoA. Utfärdaren skall uppfylla: Organisatoriska och administrativa krav Krav på identifierings och utgivningsprocesser Krav på teknisk autentiseringmetod och bärare

Säkerhetsegenskaper omvärldsutblick, USA 2011: NIST SP 800-63-1 Ny version sedan December 2011 Fördubbling i omfattning sedan 2006 Preciserar tekniska, operationella och administrativa krav för LoA 1-4 Ger vägledning för uppföljning och granskning

Tillitsnivå Exempel på tillämpning Utfärdarens processer Fastställande av identitet Identifieringsmekanismen LoA 1 Registrering på en webbplats för nyheter Minimala krav Minimala krav självhävdelse PIN, Lösenord LoA 2 Självdeklaration, adressändring Medelhöga krav Medelhöga krav - motsvarande kreditkortsutgivning Användarnamn och lösenord LoA 3 Bankärenden Höga krav Höga krav motsvarande fotolegitimation Flerfaktorsautentisering med hårda- eller mjuka bärare alternativt engångslösenord LoA 4 Förskrivning av särskilda läkemedel, finansiella transaktioner på över 1 miljon EUR Höga krav Extra höga krav Flerfaktorsautentisering med hård bärare, kryptografiskt kopplad direkt till autentiseringsprocessen.

Säkerhetsegenskaper Utgivning Användning Utfärdarens Utgivarens processer Användarens handhavande Fastställande av identitet Utlämning av bäraren Bärarens egenskaper Identifieringsmekanismen

Säkerhetsegenskaper Utgivning Användning NIST SP 800-63 Utfärdarens Utgivarens processer Användarens handhavande Fastställande av identitet Utlämning av bäraren Bärarens egenskaper Identifieringsmekanismen

Säkerhetsegenskaper NIST SP 800-53 Utgivning Användning Utfärdarens Utgivarens processer Användarens handhavande Fastställande av identitet Utlämning av bäraren Bärarens egenskaper Identifieringsmekanismen

Säkerhetsegenskaper Utgivning??? Användning Utfärdarens Utgivarens processer Användarens handhavande Fastställande av identitet Utlämning av bäraren Bärarens egenskaper Identifieringsmekanismen

Säkerhetsegenskaper omvärldsutblick, andra utvecklingar: Kantara IAF (Leif) STORK QAA ISO/IEC 29116 (Viggo) Alla bygger på grundtanken från OMB M-04-04 och NIST 800-63.

Ett tillitsramverk Kittet som fogar samman federationens parter genom: definition av de elektroniska identiteternas olika säkerhetsegenskaper: påverkar skyldigheter, ansvar och rättigheter, påverkar de tekniska lösningarna för hur parterna interagerar med varandra

fredrik@.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss