Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Relevanta dokument
Innehåll 1(14) Granskningsdokumentation

Säkerhet och Tillit i en identitetsfederation

BILAGA 3 Tillitsramverk Version 0.8

BILAGA 2 Tillitsramverk Version 1.0

Tillitsramverk för Svensk e-legitimation

Tillitskrav för Valfrihetssystem 2017 E-legitimering

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

BILAGA 3 Tillitsramverk Version: 1.2

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

BILAGA 3 Tillitsramverk Version: 2.1

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 1 Definitioner

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Granskningsinstruktion och checklista för Tillitsdeklaration

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Strukturerat informationssäkerhetsarbete

Granskningsinstruktioner och checklista för Tillitsgranskare

BILAGA 1 Definitioner Version: 2.01

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

BILAGA 1 Definitioner Version: 2.02

Tillitsregler för Valfrihetssystem 2018 E-legitimering

kirei E-legitimationsnämnden Kartläggning av internationella tillitsramverk Kirei 2012:09 14 juni 2012

BILAGA 1 Definitioner

Svensk e-legitimation och eidas

Allmänna villkor för infrastrukturen Mina meddelanden

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Tillitsramverk för E-identitet för offentlig sektor

Tillitsramverk. Identifieringstjänst SITHS

Allmänna villkor för infrastrukturen Mina meddelanden

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Krav på identifiering för åtkomst till konfidentiell information

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Svensk e-legitimation

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Introduktion. September 2018

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Säkerhetsgranskning

Tillitsramverk och granskning April 2014

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Informationssäkerhetspolicy. Linköpings kommun

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Infrastruktur med möjligheter

Apotekens Service. federationsmodell

Skolfederation.se. KommITS

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Policy för informationssäkerhet

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Elevlegitimation ett konkret initiativ.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Lennart Beckmanä Beckman Security.

Tekniskt ramverk för Svensk e- legitimation

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Vägledning till uppfyllande av tillitsramverkets krav för Svensk e-legitimation. Version

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Riktlinje för informationshantering och journalföring

Förstudie e-arkiv Begreppslista Begreppslista 1.0

E-legitimationer i Sverige idag

Granskningsmetod. Om metoden

eidas och Svensk e-legitimation

Lennart Beckmanä Beckman Security.

Skåne läns författningssamling

Skolfederation. Workshop om Skolfederation

Utveckling av Skolfederations tillitshantering

Tekniskt ramverk för Svensk e-legitimation

Efos UtgivarForum

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Välkommen till enkäten!

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

E-legitimationsnämnden Nils Fjelkegård SOLNA. Stockholm

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Federering i praktiken

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Bilaga 3c Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

E-legitimering och e-underskrift Johan Bålman esam

ehälsomyndighetens nya säkerhetslösning

Lennart Beckmanä Beckman Security.

Regeringsuppdrag Fördjupade analyser av Svensk e-legitimation ur ett säkerhetsperspektiv

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Avtal om Kundens användning av Identifieringstjänst SITHS

Skolfederation. Staffan Hagnell,.SE

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

Säkerhet och Tillit vid elektronisk identifiering? Fredrik Ljunggren 2012-11-13

Internationella tillitsramverk OMB M-04-04/NIST SP 800-63 STORK QAA Kantara IAF ISO/IEC 29115

Identifiering och registrering - Ansökan och information om villkor - Fastställande av sökandens identitet - Verifiering av sökandens personuppgifter Utfärdande av e-legitimation - Utformning av tekniska hjälpmedel - Tillhandahållande av e-legitimationshandling - Giltighetstid och förnyelse - Spärrtjänst Organisation och styrning - Verksamhetsform - Efterlevnad av lagar och regler - Informationssäkerhet - Villkor för underleverantörer - Teknisk driftmiljö - Handlingars bevarande - Granskning och uppföljning Verifiering av elektronisk identitet - Utgivning av identitetsintyg - Intygs giltighetstid - Skydd av kommunikation

1999/93/EC De fyra tillitsnivåerna STORK QAA Kantara IAF e förvaltningsaspekter ISO 29115 (M-04-04) allmän vägledning NIST SP 800-63-1 Metoder för kravuppfyllnad Ackreditering & Certifiering

Tillitsramverk omvärldsutblick, USA 2003: OMB M-04-04 Fyra tillitsnivåer: LoA 1 ingen eller liten tilltro till identiteten LoA 2 viss tilltro till identiteten LoA 3 hög tilltro till identiteten LoA 4 mycket hög tilltro till identiteten

Konsekvenser vid ett eventuellt säkerhetsbrott 1 2 3 4 Olägenhet, oro eller ryktesskada Finansiell skada eller skadeståndsansvar Röjande av känslig information till obehöriga Civilt- eller straffrättsligt brott Skada på verksamhet eller allmänintresse Personsäkerhet Tillitsnivå begränsade måttliga betydande svåra

Tillit inom Skolfederation.se Allmänna krav på parterna Ska bedriva ett strukturerat informationssäkerhetsarbete, innefattande: Definiera roller och ansvar Sörj för rätt kompetens Säkerställ incidenthantering Utvärdera och hantera risker Uppföljning och internkontroll

Tillit inom Skolfederation.se LIS i Miniatyr Definiera roller och ansvar Sörj för rätt kompetens Säkerställ incidenthantering Utvärdera och hantera risker Uppföljning och internkontroll

Ledningssystem för Informationssäkerhet (LIS) Rätt säkerhet, inte nödvändigtvis hög säkerhet Ordning och reda Kontinuerligt förbättringsarbete Starka paralleller med Ledningssystem för Kvalitet (ISO 9001)

MSBFS 2009:10 6 En myndighets arbete enligt 4 och 5 ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet; Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001: 2006 fastställd 2006-01-19), och Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12).

Tillit inom Skolfederation.se Specifika krav på parterna Fysisk skydda system och informationsbärare Säkerställa urprunget av varje transaktion (spårbarhet) Ska hålla registrerade uppgifter aktuella Använda kryptering där så kan och behövs

1 Inledning 1.1 Beskrivning av verksamheten 1.2 Kontaktuppgifter 2 Personuppgifter 2.1 Användares ansvar Mall för skolhuvudman 3 Ledning och styrning 3.1 Informationssäkerhet 3.2 Incidenthantering 3.3 Handlingars bevarande 3.4 Kontroll och granskning 4 Hantering av elektroniska identiteter och attribut 4.1 Identifiering och registrering 4.2 Utfärdande och spärr av elektronisk identitet 4.3 Utgivning av elektroniska intyg 5 Fysisk säkerhet samt spårbarhet 5.1 Fysisk säkerhet 5.2 Spårbarhet 6 Tekniska säkerhetskontroller 6.1 Hantering av kryptografiskt nyckelmaterial 6.2 Systemsäkerhet

1 Inledning 1.1 Beskrivning av tjänsten 1.2 Kontaktuppgifter 2 Personuppgifter 2.1 Användares ansvar Mall för e-tjänstleverantör 3 Ledning och styrning 3.1 Informationssäkerhet 3.2 Incidenthantering 3.3 Handlingars bevarande 3.4 Kontroll och granskning 4 Fysisk, administrativ och personorienterad säkerhet 4.1 Fysisk och miljörelaterad säkerhet 4.2 Personorienterad säkerhet 4.3 Spårbarhet 5 Tekniska säkerhetskontroller 5.1 Hantering av kryptografisk nyckelmaterial 5.2 Systemsäkerhet 5.3 Nätsäkerhet

Tillitsdeklarationen Att ge granskningsgruppen en bild av i vilken utsträckning kraven är uppfyllda Använd mallarna som checklista, beskriv avvikelser Måste inte vara perfekt

fredrik@kirei.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss