Tillitsramverk och Kantara Revision enligt Kantara IAF

Relevanta dokument
SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Säkerhet och Tillit i en identitetsfederation

Tekniskt ramverk för Svensk e- legitimation

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Tekniskt ramverk för Svensk e-legitimation

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

CM FORUM. Introduktion till. Configuration Management (CM) / Konfigurationsledning. Tobias Ljungkvist

BILAGA 1 Definitioner

Svensk e-legitimation och eidas

Konsoliderad version av

Freja eid. Anders Henrikson

Krav på identifiering för åtkomst till konfidentiell information

Metodprov för kontroll av svetsmutterförband Kontrollbestämmelse Method test for inspection of joints of weld nut Inspection specification

BILAGA 3 Tillitsramverk Version 0.8

SVENSK STANDARD SS-EN ISO 19108:2005/AC:2015

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

ISO/IEC 20000, marknaden och framtiden

Oförstörande provning (NDT) i Del M Subpart F/Del 145-organisationer

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

BILAGA 1 Definitioner Version: 2.01

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Produktens väg från idé till grav

Konsoliderad version av

BILAGA 1 Definitioner Version: 2.02

SITHS PA Charter. Regelverk för SITHS PA

REFEDS SIRTFI Webinar

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

BILAGA 1 Definitioner

BILAGA 2 Tekniska krav Version 0.81

Utblick Europa. Nils Fjelkegård E-legitimationsnämnden. 6 december

SVENSK STANDARD SS-ISO 8734

Kompetens på Certifying Staff i POA? Checklista vid release med FORM 1?

Apotekens Service. federationsmodell

ISO 9001 CERTIFIKAT CERTIFICATE. nr/no Härmed intygas att:/this is to certify that: BROSON STEEL AB

PhenixID & Inera referensarkitektur. Product Manager

Internrevisionsdagarna 2011 Sociala Medier möjligheter och risker, men för vem?

ISO general purpose metric screw threads Selected sizes for screws, bolts and nuts

Validering för kompetensförsörjning

SVENSK STANDARD SS-ISO 2338

Swedish framework for qualification

Skyddande av frågebanken

ISO general purpose screw threads Basic profile Part 1: Metric screw threads

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Infrastruktur med möjligheter

BILAGA 3 Tillitsramverk

Tullverkets författningssamling

Risk Management Riskhantering i flygföretag

Luftfartsavdelningen Sektionen för flygutbildning MANUALER VÄLKOMNA EN KORT SAMMANFATTNING AV INNEHÅLLET I RESPEKTIVE MANUAL

Molnet ett laglöst land?

Beslut om ändrad ackreditering (3 bilagor)

Beslut om ackreditering (3 st bilagor)

Goals for third cycle studies according to the Higher Education Ordinance of Sweden (Sw. "Högskoleförordningen")

Termer och begrepp. Identifieringstjänst SITHS

Dokument ID: AJP Er referens: Secur box Mats Enocson. Säkerhetsgranskning. Secur box

Stålstandardiseringen i Europa

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

Leverantörsmöte om tekniska specifikationer

SPCR 179. RISE Research Institutes of Sweden AB Certification SPCR

Swami. Valter Nordh, Göteborgs Universitet 50% SWAMID/Swami 50% edugain X% GU

Surfaces for sports areas Determination of vertical deformation. Golvmaterial Sportbeläggningar Bestämning av vertikal deformation

Komponenter Removed Serviceable

Implementering EASA-OPS

Kursplan. MT1051 3D CAD Grundläggande. 7,5 högskolepoäng, Grundnivå 1. 3D-CAD Basic Course

E-legitimationsutredningen SOU 2010:104

Styr och utveckla ditt IT-stöd utifrån internationella standarder

BILAGA 3 Tillitsramverk Version: 2.02

ISTQB Testarens ledstjärna

Granskningsinstruktion och checklista för Tillitsdeklaration

Measuring child participation in immunization registries: two national surveys, 2001

Optimering av licenshantering Hur arbetar FMV? Björn Spåra Crayon AB

SVENSK STANDARD SS-ISO :2010/Amd 1:2010

Beslut om ackreditering (3 bilagor)

Identity and Access Management på LU

Termer och begrepp. Identifieringstjänst SITHS

Peter Falck IT-sektionen

Configuration Management Vägen till ordning och reda med rätt stöd!

BILAGA 1 Tekniska krav

PORTSECURITY IN SÖLVESBORG

Kursplan. FR1050 Franska: Skriftlig språkfärdighet I. 7,5 högskolepoäng, Grundnivå 1. French Written Proficiency I

Förstudierapport. Identitets- och behörighetsfederation för ehälsa

KOMMENTARER, SYNPUNKTER OCH FORMELLA KLAGOMÅL FRÅN SKOGLIGA INTRESSENTER

Pulsen IAM: Del 2 Trender och teknik för morgondagens utmaningar. Tobias Ljunggren, PULSEN

Vision 2025: Läkemedel i miljön är inte längre ett problem

A metadata registry for Japanese construction field

Hantering av anmärkningar vid granskning av luftvärdighet (M.A.710) Ur en granskares perspektiv (ARS)

Identitet, kontroll & spårbarhet

Hur arbetar vi praktiskt i SAG?

ISACA och Euro CACSkonferensen. Kerstin Fredén, ordförande ISACA. Internrevisorerna tackar sina sponsorer

Förändrade förväntningar

Kursplan. EN1088 Engelsk språkdidaktik. 7,5 högskolepoäng, Grundnivå 1. English Language Learning and Teaching

GJUTEN ALUMINIUMPLATTA EN AW 5083 CAST ALUMINIUM PLATE EN AW 5083

Internationellt standardiseringsarbete för kvalitetskrav av hälsoappar Mats Artursson, Läkemedelsverket Jenny Acaralp, SIS

Frågor och svar. Frågor kring åtkomstlösning

Gemensamma europeiska verktyg

Bilateralt avtal USA - EG. Presentatör. Johan Brunnberg, Flygteknisk Inspektör & Del-M Koordinator, Sektionen för luftvärdighetsorganisationer

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

KRAV FÖR CERTIFIERING Nationella

Transkript:

Tillitsramverk och Kantara Revision enligt Kantara IAF Björn Sjöholm Europoint Networking bear@europoint.se 0705-220110 2012-11-14 1

Björn Sjöholm Konsult på Europoint specialiserad inom: Informationssäkerhet IT-säkerhet IT-revision M.Sc., CISSP, CISA, CISM, CGEIT, CRISC, PCI QSA (P2PE), PA-QSA 2012-11-14 2

Agenda Tillitsramverk Kantara Revision enligt Kantaras regelverk 2012-11-14 3

Tillitsramverk 2012-11-14 4

Tillitsramverk Tillitsramverk definierar vad som krävs för att lita på en elektronisk identitet och dess behörighetshantering 2012-11-14 5

Exempel på tillitsramverk Kantara IAF E-legitimationsnämnden ISO 29115 tscheme STORK Skolfederationen 2012-11-14 6

Kantara IAF Kantara Identity Assurance Framework 2012-11-14 7

Kantara IAF Krav på organisation och tekniska lösningar för identitetshantering Baserat på öppna standarder (bl.a. NIST SP 800-63) Regelverk för hur revision av organisationer och tjänster ska gå till 2012-11-14 8

Organisation Kantara är grundat ur Liberty Alliance (Identity Assurance Framework) och har ett antal medlemar IEEE ISTO är huvudman Kantara Identity Assurance Framework (IAF) Privacy Privacy Assessment Criteria (PAC) Federation Interoperability 2012-11-14 9

Assurance Review Board (ARB) Kantara godkänner Credential Service Providers (CSPs), och Assessors (revisorer) 2012-11-14 10

Kantara IAF Kantara IAF-1000 Overview Kantara IAF-1100 Glossary Kantara IAF-1200 Levels of Assurance Kantara IAF-1300 Assurance Assessment Scheme Kantara IAF-1400 Service Assessment Criteria Kantara IAF-1600 Assessor Qualifications and Requirements 2012-11-14 11

NIST SP 800-63 Federal amerikansk standard Tekniskt ramverk för: Registrering och verifiering av identiteter Autentiseringsprotokoll Autentiseringsmekanismer (mjuk- och hårdvara) Hantering av identiteter (utgivning, lagring, revokering, etc.) Fyra förtroendenivåer med ökande krav per nivå 2012-11-14 12

Förtroendenivåer Nivå 1: 1-faktors autentisering, ingen verifiering av identiteten krävs Nivå 2: 1-faktors autentisering, identiteten verifieras med ID-kort, bankkonto, bostadsadress eller liknande Nivå 3: 2-faktors autentisering (mjukvara räcker) Nivå 4: 2-faktors autentisering med hårdvara, användaren måste vara fysiskt närvarande för identifiering 2012-11-14 13

Service Assessment Criteria (SAC) Krav för organisationen (CO-SAC) Krav för identitetsverifiering (ID-SAC) Krav för hantering av credentials (CM-SAC) Olika krav för nivå 1 till 4 där nivå 1 är lägsta nivån 2012-11-14 14

Exempel på krav (CO-SAC) AL2_CO_ISM#050 Configuration Management Demonstrate that there is in place a configuration management system that at least includes: a) version control for software system components; b) timely identification and installation of all organizationallyapproved patches for any software used in the provisioning of the specified service. 2012-11-14 15

Exempel på krav (ID-SAC) AL2_ID_POL#020 Unique subject identity Ensure that each applicant s identity is unique within the service s community of subjects and uniquely associable with tokens and/or credentials issued to that identity. 2012-11-14 16

Exempel på krav (CM-SAC) AL3_CM_CRN#070 Hardware token strength Ensure that hardware tokens used to store cryptographic keys: a) employ a cryptographic module that is evaluated against FIPS 140-2 Level 1 or higher, or equivalent, as established by a recognized national technical authority; b) require password or biometric activation by the subscriber or also employ a password when being used for authentication. 2012-11-14 17

Revision enligt Kantara IAF 2012-11-14 18

Allmänt om revision Revision görs för att säkerställa att en organisation följer krav eller en standard Kan ske mot En specifik standard Lagkrav och andra regulatoriska krav Organisationens egna krav Best practice 2012-11-14 19

Hur arbetar revisorn Är det inte dokumenterat så finns det inte Organisationen som revideras ska visa kravuppfyllnad Revisorn söker bevis för faktiska omständigheter 2012-11-14 20

Bevis Dokumentation Processbeskrivningar Tekniska loggar och konfigurationer Protokoll Intervjuer, minnesanteckningar Observationer av handhavande Observationer av tekniska och fysiska lösningar 2012-11-14 21

Dubbla beviskrav Organisationen ska visa kravuppfyllnad Revisorn ska styrka revisionen 2012-11-14 22

Revision enligt Kantaras regelverk Mål: En organisation vill få en tjänst certifierad som Kantara Approved Service Revisionen måste göras av en ackrediterad Kantara-revisor (assessor) En Kantara-revisor är godkänt för ett område (jurisdiction) 2012-11-14 23

Godkända revisorer Accredited Assessor Contact ID Levels of Assurance Conditio ns Jurisdictio n Deloitte & Touche LLP Ray Kimble AA-2011-01 1,2,3 and 4 None USA CANADA evalid8 Brian Dilley AA-2010-01 1,2,3 and 4 None USA Electrosoft Scott Shorter AA-2012-01 1,2,3 and 4 None CANADA USA EUROPE Europoint Patrik Rosqvist AA-2012-03 1,2,3 and 4 None SWEDEN Zygma Richard Wilsher AA-2012-02 1,2,3 and 4 None USA 2012-11-14 24

Revisionsdokument Service Provider Agreement (SPA) Avtal där organisationen förbinder sig att följa Kantaras regelverk Specification of Services Subject to Assessment (S3A) Detaljerad beskrivning av hur organisationen och tjänsten uppfyller kraven i SAC Kantara Assessment Report (KAR) Revisionsrapport med resultat (godkänd, godkänd med förbehåll, underkänd) 2012-11-14 25

Specification of Services Subject to Assessment (S3A) Beskrivning av organisationen och tjänsten uppfyller kraven i SAC Två versioner: Outline S3A utan konfidentiell information (för Kantara) Full S3A fullständig version (för revisorerna) 2012-11-14 26

Revisionsprocess Ansökande organisation, myndighet eller företag 1. Ansökan (SPA, Outline S3A) 2. Ansökan godkänd 5. KAR skickas till ARB 6. Beslutar om godkännande 7. Tjänsten blir Kantara Approved Service Ackrediterad Kantara-revisor 2012-11-14 27

Genomförande Ansökande organisation beskriver kravuppfyllnad (S3A) Kantara ARB godkänner ansökan i sig Revisor validerar Granskar S3A och validerar faktiska omständigheter Bekräftar kravuppfyllnad (KAR) Kantara ARB godkänner Kantara approved service 2012-11-14 28

Kantara i Europa Vilken nytta har europeiska myndigheter, organisationer och företag av Kantara? Europoint är första företag i Europa att bli certifierad Kantara-revisor 2012-11-14 29

Mer info Europoint www.europoint.se Kantara www.kantarainitiative.org 2012-11-14 30

Revision enligt Kantara IAF Frågor? 2012-11-14 31

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss