Tillitsramverk och Kantara Revision enligt Kantara IAF Björn Sjöholm Europoint Networking bear@europoint.se 0705-220110 2012-11-14 1
Björn Sjöholm Konsult på Europoint specialiserad inom: Informationssäkerhet IT-säkerhet IT-revision M.Sc., CISSP, CISA, CISM, CGEIT, CRISC, PCI QSA (P2PE), PA-QSA 2012-11-14 2
Agenda Tillitsramverk Kantara Revision enligt Kantaras regelverk 2012-11-14 3
Tillitsramverk 2012-11-14 4
Tillitsramverk Tillitsramverk definierar vad som krävs för att lita på en elektronisk identitet och dess behörighetshantering 2012-11-14 5
Exempel på tillitsramverk Kantara IAF E-legitimationsnämnden ISO 29115 tscheme STORK Skolfederationen 2012-11-14 6
Kantara IAF Kantara Identity Assurance Framework 2012-11-14 7
Kantara IAF Krav på organisation och tekniska lösningar för identitetshantering Baserat på öppna standarder (bl.a. NIST SP 800-63) Regelverk för hur revision av organisationer och tjänster ska gå till 2012-11-14 8
Organisation Kantara är grundat ur Liberty Alliance (Identity Assurance Framework) och har ett antal medlemar IEEE ISTO är huvudman Kantara Identity Assurance Framework (IAF) Privacy Privacy Assessment Criteria (PAC) Federation Interoperability 2012-11-14 9
Assurance Review Board (ARB) Kantara godkänner Credential Service Providers (CSPs), och Assessors (revisorer) 2012-11-14 10
Kantara IAF Kantara IAF-1000 Overview Kantara IAF-1100 Glossary Kantara IAF-1200 Levels of Assurance Kantara IAF-1300 Assurance Assessment Scheme Kantara IAF-1400 Service Assessment Criteria Kantara IAF-1600 Assessor Qualifications and Requirements 2012-11-14 11
NIST SP 800-63 Federal amerikansk standard Tekniskt ramverk för: Registrering och verifiering av identiteter Autentiseringsprotokoll Autentiseringsmekanismer (mjuk- och hårdvara) Hantering av identiteter (utgivning, lagring, revokering, etc.) Fyra förtroendenivåer med ökande krav per nivå 2012-11-14 12
Förtroendenivåer Nivå 1: 1-faktors autentisering, ingen verifiering av identiteten krävs Nivå 2: 1-faktors autentisering, identiteten verifieras med ID-kort, bankkonto, bostadsadress eller liknande Nivå 3: 2-faktors autentisering (mjukvara räcker) Nivå 4: 2-faktors autentisering med hårdvara, användaren måste vara fysiskt närvarande för identifiering 2012-11-14 13
Service Assessment Criteria (SAC) Krav för organisationen (CO-SAC) Krav för identitetsverifiering (ID-SAC) Krav för hantering av credentials (CM-SAC) Olika krav för nivå 1 till 4 där nivå 1 är lägsta nivån 2012-11-14 14
Exempel på krav (CO-SAC) AL2_CO_ISM#050 Configuration Management Demonstrate that there is in place a configuration management system that at least includes: a) version control for software system components; b) timely identification and installation of all organizationallyapproved patches for any software used in the provisioning of the specified service. 2012-11-14 15
Exempel på krav (ID-SAC) AL2_ID_POL#020 Unique subject identity Ensure that each applicant s identity is unique within the service s community of subjects and uniquely associable with tokens and/or credentials issued to that identity. 2012-11-14 16
Exempel på krav (CM-SAC) AL3_CM_CRN#070 Hardware token strength Ensure that hardware tokens used to store cryptographic keys: a) employ a cryptographic module that is evaluated against FIPS 140-2 Level 1 or higher, or equivalent, as established by a recognized national technical authority; b) require password or biometric activation by the subscriber or also employ a password when being used for authentication. 2012-11-14 17
Revision enligt Kantara IAF 2012-11-14 18
Allmänt om revision Revision görs för att säkerställa att en organisation följer krav eller en standard Kan ske mot En specifik standard Lagkrav och andra regulatoriska krav Organisationens egna krav Best practice 2012-11-14 19
Hur arbetar revisorn Är det inte dokumenterat så finns det inte Organisationen som revideras ska visa kravuppfyllnad Revisorn söker bevis för faktiska omständigheter 2012-11-14 20
Bevis Dokumentation Processbeskrivningar Tekniska loggar och konfigurationer Protokoll Intervjuer, minnesanteckningar Observationer av handhavande Observationer av tekniska och fysiska lösningar 2012-11-14 21
Dubbla beviskrav Organisationen ska visa kravuppfyllnad Revisorn ska styrka revisionen 2012-11-14 22
Revision enligt Kantaras regelverk Mål: En organisation vill få en tjänst certifierad som Kantara Approved Service Revisionen måste göras av en ackrediterad Kantara-revisor (assessor) En Kantara-revisor är godkänt för ett område (jurisdiction) 2012-11-14 23
Godkända revisorer Accredited Assessor Contact ID Levels of Assurance Conditio ns Jurisdictio n Deloitte & Touche LLP Ray Kimble AA-2011-01 1,2,3 and 4 None USA CANADA evalid8 Brian Dilley AA-2010-01 1,2,3 and 4 None USA Electrosoft Scott Shorter AA-2012-01 1,2,3 and 4 None CANADA USA EUROPE Europoint Patrik Rosqvist AA-2012-03 1,2,3 and 4 None SWEDEN Zygma Richard Wilsher AA-2012-02 1,2,3 and 4 None USA 2012-11-14 24
Revisionsdokument Service Provider Agreement (SPA) Avtal där organisationen förbinder sig att följa Kantaras regelverk Specification of Services Subject to Assessment (S3A) Detaljerad beskrivning av hur organisationen och tjänsten uppfyller kraven i SAC Kantara Assessment Report (KAR) Revisionsrapport med resultat (godkänd, godkänd med förbehåll, underkänd) 2012-11-14 25
Specification of Services Subject to Assessment (S3A) Beskrivning av organisationen och tjänsten uppfyller kraven i SAC Två versioner: Outline S3A utan konfidentiell information (för Kantara) Full S3A fullständig version (för revisorerna) 2012-11-14 26
Revisionsprocess Ansökande organisation, myndighet eller företag 1. Ansökan (SPA, Outline S3A) 2. Ansökan godkänd 5. KAR skickas till ARB 6. Beslutar om godkännande 7. Tjänsten blir Kantara Approved Service Ackrediterad Kantara-revisor 2012-11-14 27
Genomförande Ansökande organisation beskriver kravuppfyllnad (S3A) Kantara ARB godkänner ansökan i sig Revisor validerar Granskar S3A och validerar faktiska omständigheter Bekräftar kravuppfyllnad (KAR) Kantara ARB godkänner Kantara approved service 2012-11-14 28
Kantara i Europa Vilken nytta har europeiska myndigheter, organisationer och företag av Kantara? Europoint är första företag i Europa att bli certifierad Kantara-revisor 2012-11-14 29
Mer info Europoint www.europoint.se Kantara www.kantarainitiative.org 2012-11-14 30
Revision enligt Kantara IAF Frågor? 2012-11-14 31