Checklistans användningsområde



Relevanta dokument
Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Bilaga 1 Handledning i informationssäkerhet

Informationssäkerhet

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

ANVÄNDARHANDLEDNING FÖR

Att hantera digital information i Stockholms stad. stockholm.se

Säkerhetskopiering och återställning Användarhandbok

Administratör Rollbeskrivning och stödjande instruktion. e-tjänst för ansökan om statsbidrag Senast uppdaterad:

Koncept Katalog 2009

Policy för Svenska kyrkans gemensamma IT-plattform

Informationshantering och journalföring. informationssäkerhet för god vård

Infrastrukturen för Svensk e-legitimation

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Säkerhetskopiering och återställning Användarhandbok

LOKAL RIKTLINJE FÖR HOT- OCH VÅLDSSITUATIONER

Rehabilitering. Arbetssätt vid rehabiliteringsärenden. Rehabilitering Sid: 1 / 6

Torsvi fiber ekonomisk förening, orgnummer November 1, 2015 BILAGA 1.A KOMMUNIKATIONSOPERATÖRENS ÅTAGANDE

Arbeta bäst där du är Dialect Unified Mi

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Föreskrift om insiderregister

1(6) Riktlinjer för tjänsteresor. Styrdokument

A. Allmänna villkor. Midpoint AB Drottninggatan Karlstad. Tel. +46 (0) Web. E-post.

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Detta dokument beskriver vilka regler som gäller för lagspecifika hemsidor använda av Ackers lag.

Myndigheters tillgång till tjänster för elektronisk identifiering

Avtal om distansarbete

Socialstyrelsens författningssamling

ELEV- HANDLEDNING (Ansökan via webben)

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Uppdragsbeskrivning. Digital Skyltning. Version 1.0 Mats Persson. Distributionslista. Namn Åtgärd Info.

Riktlinjer för medborgardialog

Timeline dropbox för lärare och elever

Identiteter och behörigheter i molnet och BYOD

912 Läsförståelse och matematik behöver man lära sig läsa matematik?

Sanktioner Uppföljning av restauranger som fått beslut om föreläggande/förbud år 2010

Kurir för it-incidentrapportering snabbguide användare

Anmälan om sjukhusens läkemedelsförsörjning

Rutin för hantering av privata medel inom vård och omsorg

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Uppgradering till DentalEye 3.2

MARKNADSÖVERSIKT 10/2012. Användning av posttjänster Uträttande av ärenden vid verksamhetsställena och tillgång till tjänster

Detta kan du förvänta dig av kommunens service. Lokala värdighetsgarantier inom socialtjänstens omsorg om äldre

Sveriges Trafikskolors Riksförbund Film om körkort för nysvenskar Speakertext - Svensk

2 Hur förbereder jag mig inför krav på kortinlogg?

Personlig assistans med Kiruna Kommun som assistansanordnare

Snabbstartguide för McAfee Wireless Protection

Distribuerade Informationssystem VT-04

Säkerhet. Användarhandbok

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

Överenskommelse avseende uppföljningssystemet SUS

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

Medieplan. för Högskolebiblioteket i Skövde Reviderad

För dig som är valutaväxlare. Så här följer du reglerna om penningtvätt i din dagliga verksamhet INFORMATION FRÅN FINANSINSPEKTIONEN

Programvaruuppdateringar Användarhandbok

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

e-cm Elektronisk Cash Management dygnet runt, världen över.

myabilia En introduktion

Likabehandlingsplan samt Plan mot kränkande behandling. Tallets förskola 2014/2015

Trygghetslarmen installeras av personal från vård och äldreomsorgens larmgrupp. De ger dig råd om vilken lösning som fungerar hos dig.

Förstklassig säkerhet för virtuella miljöer

Guide för Google Cloud Print

Säkerhet. De onda. Vilka är farorna?

BEHANDLINGEN AV UPPGIFTER I ANVÄNDAR- LOGG ENLIGT PERSONUPPGIFTSLAGEN

Infobric Ease Snabbguide

Granskning av ansvarsutövande och intern kontroll år 2014

RUTIN FÖR KLASSIFICERING AV INFORMATION

Generell beskrivning av skolan och handelsutbildningens utformning I ansökan om certifiering beskriver skolan: Tolkning och kommentarer

Informationshantering och journalföring. ring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Manual BizPart Semesterplan

MÖJLIGHETERNAS TÄBY Barnomsorg

MANUAL TILL AVTALSMALL FÖR KIST- OCH URNTRANSPORTER

Riktlinje för hälso- och sjukvårdsdokumentation

Post- och telestyrelsens författningssamling

Svarsjournal. Publikationsnamn

Frågor och svar för föreningar om nya ansökningsregler för aktivitetsbidrag från och med 1 januari 2017

Likabehandlingsplan för läsåret

IAM- Lunds universitet. Identity & Access Management

Internkontrollplan 2014 Jämtlands Räddningstjänstförbund

4 p o r t s 1 0 / m b p s

Normativ specifikation

Förskolan Vårskogen, Svaleboskogen 7. Plan mot diskriminering och kränkande behandling

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

För unga vuxna Vuxenutbildning. Den svenska skolan för nyanlända

EN BÄTTRE KREDITAFFÄR

Rapport uppdrag. Advisory board

Beslut för gymnasieskola

Vet du vilka rättigheter du har?

För varje uppgift som dokumenteras under utredningen ska det framgå

Intyg om erfarenhet och lämplighet att undervisa som lärare i gymnasieskolan

Denna talesmannapolicy gäller tillsammans med AcadeMedias kommunikationspolicy. I kommuniaktionspolicyn finns följande formulering:

Mat och måltider. i förskola och skola. Mål och riktlinjer för måltidsverksamheten i Kungsörs kommun

Utredning av hyressättning i vård- och omsorgsboende för personer med funktionsnedsättning i Tyresö kommun

Arkivreglemente för Lerums kommun

Manual för BPSD registret. Version 6 /

Arkivreglemente POLICY. Kommunledningskontoret, kanslienheten Lina Rådegård, utredare,

Hantering av programrättningar och systemuppdateringar. Förebyggande Råd från Sveriges IT-incidentcentrum

Kundservicerapport Luleå kommun 2015

Lathund för överföring av rapporter och ljudfiler

Transkript:

IdM-checklista För att upprätta förtroende i en federation krävs inte bara att identitetsutdelningsprocessen uppfyller vissa krav. Exempelvis är det viktigt att man har förtroende för att ingen oriktigt kan tillägna sig andras identitet.i det sammanhanget blir det också viktigt att man har förtroende för att alla delar av identitetshanteringen sköts på ett sätt som minimerar risken för intrång och identitetsstöld och att man har en fungerande process för återställning om intrång ändå skulle ske. IdM-checklistan är ett försök att fastställa Best Practice för drift av de miljöer där identitetshanteringens olika delar residerar. I listan nedan finns också exempel för de olika kraven.

Checklistans användningsområde Vid revision av IdP hos en SWAMID-medlem Som dokumentation för revision vid LA2 och LA3 Vid ansökan om medlemskap i SWAMID Vid kartläggning i samband med dataintrång (Sunet CERT)

Systemadministration allmänt System- och maskinbeskrivning ska finnas över autenticieringssystemets ingående komponenter. Detta skall bland annat beskriva dataflödet mellan ingående komponenter, speciellt med avseende på hur användare är definierade på olika nivåer och vilket/vilka system som är källan till/äger denna information. Ingående datorer/system ska ha utsedd(a) ansvarig(a) systemadministratörer. Vid exempelvis en incident skall det klart gå att se vilka som är ansvariga för driften respektive har systemkonton på de komponenter som ingår i autenticieringssystemet. Systemen ska förvaras i en säker fysisk miljö, t ex en datorhall med lås, larm etc. Det skall inte finnas någon risk att obehöriga får fysisk tillgång till berörda datorer. Driften skall vara säkerställde enligt etblerade, beskrivana processer. I och med att identiteter kan nyttjas även på andra högskolor, kan även dessa drabbas vid driftproblem. IdP:n och bakomliggande system skall köras på separata maskiner. Dessa skall inte ha orelaterade tjänster. Exempelvis skall inte IdP:n köras på samma maskin(er) som webbservrar, databaser etc. IdP:n (som är riskexponerad) skall inte köras på samma maskin som bakomliggande system. Dedikerad hårdvara eller motsvarande lösning med adekvat säkerhet bör användas. Hårdvara som tas ur drift ska destrueras på ett korrekt sätt. Diskar och andra permanenta lagringsmedia skall destrueras fysiskt under säkra former, alternativt skrivas över på ett säkert sätt. (exempelvis med hjälp av DBAN eller ATA 'Security Erase').

Nätverk och omgivande system Nätverket skall vara segmenterat så att berörda IdP och bakomliggande system sitter på separat segment. Detta för att minska riskexponeringen om intrång skulle inträffa på andra system. För att möjliggöra undersökning av incident/driftstörning skall det finnas trafikloggar ('Netflow' eller motsvarande). Avsikten är att man ska kunna få en oberoende bild av vad som inträffat. För undvikande av dns-problem, ska mer än en central dnsserver vara konfigurerad. Åtminstone en av dessa bör vara belägen utanför högskolans nät. Dnssec bör användas. Det ska finnas routerfilter(motsv) som begränsar åtkomst till systemen till relevanta portar från relevanta ipnummer/nät. Motsvarande filter bör även finnas på aktuella servrar ('djupförsvar').

Loggning, återställning och övervakning Ingående system ska vara konfigurerade så att säkerhetsrelevant information loggas. Loggar ska sparas på lämpligt sätt så att de finns tillgängliga fastställd period, minst 6 månader. Loggar skall endast vara åtkomliga för utsedda personer. Exempel på säkerhetsrelevanta loggar är applikationsloggar samt accessloggar på OS-nivå. Förutom servrarnas lokala loggning ska samtidig loggning på central säker server utnyttjas, exempelvis via syslog. Vid en incident är det vanligt att serverloggar raderas. Därför skall oberoende loggar finnas. Rutiner ska finnas för fortlöpande kontroll av relevanta loggar. Loggar skall rutinmässigt granskas på lämpligt sätt i syfte att tidigt upptäcka intrång eller driftsproblem. För att säkerställa att loggar visar rätt tid, skall synkroniserade tidsservrar utnyttjas, alternativt annan metod som ger motsvarande funktion. Det ska finnas rutiner för regelbunden säkerhetskopiering. Man skall åtminstone säkerhetskopiera loggfiler, konfigurationsfiler, IdP-data. Säkerhetskopior som innehåller lösenord skall vara krypterade. Lösenord för backupper skall finnas sparade på lämpligt sätt (kassaskåp eller motsvarande). Rutiner skall finnas för test av återställning.

Härdning, uppsäkring mm Det ska finnas rutiner för att regelbundet följa upp att säkerhetspatchar installerats, och att systemet i övrigt är korrekt konfigurerat. Operativsystem och program som ej underhålls av leverantören med avseende på säkerhetspatchar får ej användas. Tjänster som EJ används ska inte vara aktiverade. Varje tjänst innebär en exponering. Onödiga sådana skall undvikas. Tjänster som används ska vara säkra och korrekt uppsatta. Tjänster kan behöva konfigureras för att bli säkra. Konfigurationer skall dokumenteras. Osäkra tjänster får EJ vara aktiverade. Exempel på sådana tjänster är netbios, NFS, telnet.

Säker hantering av användarid, lösenord och motsvarande Lösenord ska vara av tillfredsställande kvalitet och ska inte överföras i klartext. För AL1 krävs en entropi på 1024 (2^10) och för AL2 16384 (2^14). Lösenord för administration skall vara av minst samma kvalitet som de lösenord som administreras. Någon form av ratelimit bör användas för att försvåra lösenordsattacker. Se: http://csrc.nist.gov/publications/nistpubs/800-63/sp800-63v1_0_2.pdf samt http://www.idmanagement.gov/documents/commoncap.xls Det ska finnas rutiner för hantering av administrativa konton. Administrativ åtkomst skall begränsas till så få personer som möjligt. Vilka som har administrativ åtkomst skall dokumenteras och det skall finnas rutiner för rensning av inaktuella konton. Trafiken mot IdP:er och underliggande system skall vara krypterad. Servercertifikat skall användas med en nyckellängd motsvarande minst RSA 2048 och nyckeln skall bytas minst vart tredje år. Jämför basprofilen samt NIST SP 800-57. Privata nycklar med tillhörande lösenord skall förvaras säkert. För administration av ingående komponenter bör 2-faktorautenticiering eller konsol användas. Som ovan: Administrativ påloggning skall vara av minst samma säkerhet som de administrerade objekten

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss