REFEDS SIRTFI Webinar

Relevanta dokument
Workshop med focus på AL-processer

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Introduktion till SWAMID

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Webinar Profil för multifaktorinloggning via SWAMID

SWAMID AL2. Vad är SWAMID AL2 och vad innebär detta för mitt lärosäte?

Entitetskategorier. Att göra attributrelease enklare och samtidigt mer integritetsskyddande.

Sectra Critical Security Services. Fel bild

Introduktion ICAO-EASA.

Multifaktorinloggning via SWAMID

Dubbelt seende, dubbla skördar?

MBIT BREDBAND VI ÄGS AV INVÅNARNA I KARLSHAMN REGISTRERA DIG IDAG. Din lokala elleverantör. Starka på hemmaplan. Din guide till Karlshamnsporten

ISO/IEC 20000, marknaden och framtiden

Implementering av SMS och SSP i Sverige

Fallstudie runt införande av SWAMIDs multifaktorinloggning vid ett lärosäte

Tillitsramverk och Kantara Revision enligt Kantara IAF

Swami. Valter Nordh, Göteborgs Universitet 50% SWAMID/Swami 50% edugain X% GU

Lösenordsportalen Hosted by UNIT4 For instructions in English, see further down in this document

BREDBAND MBIT REGISTRERA DIG IDAG. Din guide till Karlshamnsporten

REGISTRERA DIG IDAG Din guide till Ronnebyporten

Skyddande av frågebanken

Hur arbetar vi praktiskt i SAG?

Personlig integritet, PUL och federationer

Anvisning om ansvarsförsäkran för studenter

Integritetspolicy och samtycke

Ditt Medarbetarskap: Ett analysinstrument om relationerna på din arbetsplats (kort version 1.2) Bertlett, Johan

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

SVENSK STANDARD SS :2010

Genomförande av SSP och SMS i Sverige. Hur ökar vi flygsäkerheten bortom regelverket? Hur balanserar vi mellan produktion och säkerhet?

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH

MANUAL LYNC 365 TELEFONI - KONTROLLPANEL

ADFS som IdP i SWAMID

Surfaces for sports areas Determination of vertical deformation. Golvmaterial Sportbeläggningar Bestämning av vertikal deformation

Prata med bordsgrannarna

Att utforma operationsmiljöer för god arbetsmiljö och hög patientsäkerhet - forskning och utveckling (presentation)

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Stadsplanering och transporter vilken makt har stadsplaneraren idag?

Komponenter Removed Serviceable

Datasäkerhet och integritet

1/25. Incidenthantering. Leif Nixon

Privacy Notice Ålö Group. Customers Integritetspolicy Sverige Privacy Notice UK, North America and International

BILAGA 1 Definitioner Version: 2.01

Alias 1.0 Rollbaserad inloggning

Till sökande för KRAV-certifiering av produkter från fiske. To applicants for KRAV certification of seafood products from capture fisheries

Swedbank Mobile Loadtesting. LoadRunner Mobile App protocol

Citation for published version (APA): Gill-Pedro, E. (2017). Remissyttrande: Genomförande av ICT-direktivet (Ds 2017:3).

Tullverkets författningssamling

CCTV eller dispens? Vad göra åt kravet på övervakning av området utanför cockpit från båda pilotstolarna?

Säkra pausade utskriftsjobb. Administratörshandbok

Taxning och motorkörning av flygplan/helikopter

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

Ta kontroll över dina loggar och gör dem användbara!

Kontrakt för Ledare Budapest 2019

Byggdokument Angivning av status. Construction documents Indication of status SWEDISH STANDARDS INSTITUTE

SVENSK STANDARD SS-EN ISO :2009/AC:2010

Användarhandbok. MHL to HDMI Adapter IM750

A metadata registry for Japanese construction field

Adress 15. August 2014

Förordning 376/2014. Händelserapportering Ulrika Svensson, flyginspektör

Teknisk rapport SIS-TR 18:2007 Publicerad/Published: Utgåva/Edition: 1 Språk/Language: svenska/swedish ICS: ;

Tidstrender för perfluorerade ämnen i plasma från svenska kvinnor

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Skrivträning som fördjupar den naturvetenskapliga förståelsen Pelger, Susanne

State Examinations Commission

Citation for published version (APA): Warnquist, F. (2014). Introduktion till arrenden. Abstract från Arrenden, Lund, Sverige.

Framtidens vård vart är vi på väg? (presentation) Johansson, Gerd

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

BILAGA 1 Definitioner Version: 2.02

Skolfederation.se. KommITS

13 sätt att bearbeta en scooterstöld. Hagström, Charlotte. Published in: ETN:POP. Link to publication

Förändrade förväntningar

eduid Hans Nordlöf

Custom-made software solutions for increased transport quality and creation of cargo specific lashing protocols.

Att utveckla och skapa en effektiv och dynamisk process för konsolidering och rapportering

Webbregistrering pa kurs och termin

Molnet eller outsourcing??

Shibboleth IDP och ADFS + Sharepoint integration

Skicka drivrutin. Administratörshandbok

Citation for published version (APA): Warnquist, F. (2011). Vinstfördelning. Abstract från Fastighetsrättsliga ersättningar, Lund, Sverige.

Byggritningar Ritsätt Fästelement. Construction drawings Representation of fasteners SWEDISH STANDARDS INSTITUTE

BILAGA 1 Definitioner

Smarta sätt att modernisera din webbplats för SiteVision Cloud!

R/T cert och taxning Jukka Salo Slfu

Webbreg öppen: 26/ /

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Art Projekt AB Integritetspolicy

AIC SWEDEN. Free route airspace operations between DK-SE FAB FRA and NEFAB FRA

William J. Clinton Foundation Insamlingsstiftelse REDOGÖRELSE FÖR EFTERLEVNAD STATEMENT OF COMPLIANCE

Oförstörande provning (NDT) i Del M Subpart F/Del 145-organisationer

Getswish Integritetspolicy

Getswish Integritetspolicy

Multifaktorinloggning via SWAMID

Risk Management Riskhantering i flygföretag

Manhour analys EASA STI #17214

Transkript:

REFEDS SIRTFI Webinar 2016-11-10

Vad är SIRTFI? Förkortning av The Security Incident Response Trust Framework for Federated Identity Ny internationell säkerhetsprofil från samarbetsorganisationen REFEDS för Best Current Practice inom federerad inloggning Ersätter gamla IdM-checklistan som SWAMID tog fram tillsammans med SUSEC i samband med SWAMID 2.0

Vad rekommenderar SWAMID? SWAMID Board of Trustees, dvs. styrgruppen för SWAMID, rekommenderar starkt federationens medlemmar att använda säkerhetsprofilen REFEDS SIRTFI Detta betyder primärt att SWAMID Operations kommer aktivt stödja och informera alla identitetsutgivare (IdP) om REFEDS SIRTFI Tjänster (SP) som vill använda REFEDS SIRTFI får stöd vid behov

Varför ska vi använda REFEDS SIRTFI? REFEDS SIRTFI är ett bra sätt att veta om en organisations identitetsutgivare (IdP) eller tjänster (SP) sköts på ett säkerhetsmässigt bra sätt Vissa tjänster kommer att kräva att identitetsutgivare uppfyller SIRTFI för att inloggning ska tillåtas från aktuell organisation Redan idag kräver forskningsorganisationen CERN att användare som ska få tillgång till federerade tjänster vid CERN måste komma från identitetsutgivare som uppfyller kraven för REFEDS SIRTFI, andra användare kan inte längre logga in.

Hur gör vi för att bli godkända för SIRTFI? Ni läser igenom och kontrollerar att ni uppfyller kraven för SIRTFI Om ni anser att ni uppfyller kraven för SIRTFI: Meddela SWAMID Operations att ni uppfyller kraven för SIRTFI Meddela även e-postadress, och gärna även telefonnummer, till organisationens IT-säkerhetsfunktion OBS! SWAMID Operations kommer inte att granska om ni uppfyller kraven eller inte, det är helt ert eget ansvar!

Mer och djupare information Information om REFEDS SIRTFI finns på adressen https://refeds.org/sirtfi SWAMID Operations kommer att publicera råd och rekommendationer om hur ni använder REFEDS SIRTFI på SWAMIDs wiki, mer information kommer till saml-admins Följande bilder innehåller ytterligare information runt kraven med fokus på identitetsutfärdare (IdP)

REFEDS SIRTFI för identitetsutfärdare (IdP)

Operativa krav i REFEDS SIRTFI [OS1] Security patches in operating system and application software are applied in a timely manner säkerhetsuppdateringar till programvaror i kontohanteringsmiljön ska installeras inom rimlig tid programvaror i kontohanteringsmiljön som inte längre uppdateras eller supporteras av leverantören ska inte användas (indirekt krav)

Operativa krav i REFEDS SIRTFI [OS2] A process is used to manage vulnerabilities in software operated by the organisation det finns definierade rutiner för att åtgärda säkerhetsproblem i programvaror som finns vid organisationen Kravet innebär inte att organisationen måste offentligt publicera dessa rutiner

Operativa krav i REFEDS SIRTFI [OS3] Mechanisms are deployed to detect possible intrusions and protect information systems from significant and immediate threats organisationen använder system för att upptäcka och skydda system från stora och akuta hot via t.ex. intrångsdetektering i brandvägg eller aktiv logganalys det är lämpligt att identitetsutgivaren konfigureras på sätt att antalet olämpliga inloggningsförsök begränsas

Operativa krav i REFEDS SIRTFI [OS4] A user s access rights can be suspended, modified or terminated in a timely manner en användares rättighet till federativ inloggning vid behov kan begränsas eller stängas av i samband med säkerhetsmässigt felaktig användning Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2

Operativa krav i REFEDS SIRTFI [OS5] Users and Service Owners (as defined by ITIL) within the organisation can be contacted organisationen har möjlighet att kontakta en användare vid behov För anställda, och övrigt verksamma eller motsv., finns oftast kontaktvägar såsom mobiltelefon registrerat i katalog- eller personalsystem. Anställda brukar dessutom ha en e-postadress i tjänsten. För studenter finns kontaktuppgifter i Ladok men även privat e-postadress om studenten eftersänder sin e-post vid lärosätet.

Operativa krav i REFEDS SIRTFI [OS6] A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident det finns en incidenthanteringsfunktion vid organisationen som har tillräckliga rättigheter för att tillse att effekterna av en säkerhetsincident mildras, begränsas och till sist åtgärdas

Incidenthanteringskrav i REFEDS SIRTFI [IR1] Provide security incident response contact information as may be requested by an R&E federation to which your organisation belongs det finns definierade kontakter, helst funktion inte person, för incidenthantering vid organisationen Kravet innebär inte att incidenthanteringsfunktionen är bemannad dygnet runt

Incidenthanteringskrav i REFEDS SIRTFI [IR2] Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi trust framework in a timely manner incidenthanteringsfunktionen svarar på förfrågningar från andra organisationer som följer REFEDS SIRTFI inom rimlig tid Kravet innebär inte att incidenthanteringsfunktionen är bemannad dygnet runt

Incidenthanteringskrav i REFEDS SIRTFI [IR3] Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi trustframework incidenthanteringsfunktionen deltar och samarbetar vid säkerhetsincidenter tillsammans med andra organisationer som följer REFEDS SIRTFI incidenthanteringsfunktionen även följer rutinen för SWAMIDs incidenthantering (indirekt krav) https://www.sunet.se/swamid/incidenthantering/

Incidenthanteringskrav i REFEDS SIRTFI [IR4] Follow security incident response procedures established for the organisation organisationen har definierade rutiner hur organisationen besvarar anmälningar om säkerhetsincidenter incidenthanteringsfunktionen följer dessa rutiner Kravet innebär inte att organisationen måste offentligt publicera dessa rutiner

Incidenthanteringskrav i REFEDS SIRTFI [IR5] Respect user privacy as determined by the organisations policies or legal counsel organisationen måste vid kommunikationen med tredje part, t.ex. incidentanmälaren, ta hänsyn till användarens behov av integritet enligt Personuppgiftslagen (SFS 1998:204) och i förekommande fall bestämmelserna i Offentlighets- och sekretesslagen (SFS 2009:400)

Incidenthanteringskrav i REFEDS SIRTFI [IR6] Respect and use the Traffic Light Protocol [TLP] information disclosure policy organisationen respekterar och använder begränsingarna i Traffic Light Protocol så länge som organisationen följer gällande svensk lagstiftning, t.ex. Personuppgiftslagen (SFS 1998:204), Offentlighets- och sekretesslagen (SFS 2009:400) och Tryckfrihetsförordningen (SFS 1949:105) Definition av TLP: https://www.us-cert.gov/tlp

Spårbarhetskrav i REFEDS SIRTFI [TR1] Relevant system generated information, including accurate timestamps and identifiers of system components and actors, are retained and available for use in security incident response procedures säkerhetsrelaterade loggar ska sparas för kontoförändringar samt lyckade och misslyckade inloggningar Kravet uppfylls av motsvarande krav i SWAMID AL2 men bara delvis av kraven i SWAMID AL1

Spårbarhetskrav i REFEDS SIRTFI [TR2] Information attested to in [TR1] is retained in conformance with the organisation s security incident response policy or practices loggar ska sparas enligt de rutiner som är definierade i organisationens incidenthanteringsrutiner Kravet innebär inte att organisationen måste offentligt publicera dessa rutiner

Orgaisationskrav i REFEDS SIRTFI [PR1] The participant has an Acceptable Use Policy (AUP) organisationen måste ha användarregler som gäller för identitetsutgivaren Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2

Orgaisationskrav i REFEDS SIRTFI [PR2] There is a process to ensure that all users are aware of and accept the requirement to abide by the AUP, for example during a registration or renewal process organisationen måste ha rutiner som gör att användarna godkänner att de följer användarreglerna vid t.ex. kontoaktivering och lösenordsåterställning Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2

Nu är det dags för frågor

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss