Transcript Vad är LIS, E-legitimationsnämndens tillitsramverk

Säkerhet och Tillit vid
elektronisk identifiering
?
Fredrik Ljunggren
2012-11-13
Internationella
tillitsramverk
OMB M-04-04/NIST SP 800-63
STORK QAA
Kantara IAF
ISO/IEC 29115
Identifiering och registrering
- Ansökan och information om villkor
- Fastställande av sökandens identitet
- Verifiering av sökandens personuppgifter
Utfärdande av e-legitimation
- Utformning av tekniska hjälpmedel
- Tillhandahållande av e-legitimationshandling
- Giltighetstid och förnyelse
- Spärrtjänst
Verifiering av elektronisk identitet
- Utgivning av identitetsintyg
- Intygs giltighetstid
- Skydd av kommunikation
Organisation och styrning
- Verksamhetsform
- Efterlevnad av lagar och regler
- Informationssäkerhet
- Villkor för underleverantörer
- Teknisk driftmiljö
- Handlingars bevarande
- Granskning och uppföljning
De fyra
tillitsnivåerna
1999/93/EC
STORK QAA
Kantara IAF
e‑förvaltningsaspekter
ISO 29115
(M-04-04)
Ackreditering &
Certifiering
allmän
vägledning
NIST SP 800-63-1
Metoder för
kravuppfyllnad
Tillitsramverk
omvärldsutblick, USA 2003: OMB M-04-04
Fyra tillitsnivåer:
LoA 1 – ingen eller liten tilltro till identiteten
LoA 2 – viss tilltro till identiteten
LoA 3 – hög tilltro till identiteten
LoA 4 – mycket hög tilltro till identiteten
Tillitsnivå
Konsekvenser vid ett eventuellt säkerhetsbrott
Olägenhet, oro eller ryktesskada
Finansiell skada eller skadeståndsansvar
Röjande av känslig information till obehöriga
Civilt- eller straffrättsligt brott
Skada på verksamhet eller allmänintresse
Personsäkerhet
begränsade
måttliga
betydande
svåra
1
2
3
4
Tillit inom Skolfederation.se
Allmänna krav på parterna
Ska bedriva ett strukturerat
informationssäkerhetsarbete, innefattande:
Definiera roller och ansvar
Sörj för rätt kompetens
Säkerställ incidenthantering
Utvärdera och hantera risker
Uppföljning och internkontroll
Tillit inom Skolfederation.se
LIS i Miniatyr
Definiera roller och ansvar
Sörj för rätt kompetens
Säkerställ incidenthantering
Utvärdera och hantera risker
Uppföljning och internkontroll
Ledningssystem för
Informationssäkerhet (LIS)
Rätt säkerhet, inte nödvändigtvis hög säkerhet
Ordning och reda
Kontinuerligt förbättringsarbete
Starka paralleller med
Ledningssystem för Kvalitet (ISO 9001)
MSBFS 2009:10
6 § En myndighets arbete enligt 4 och 5 §§ ska
bedrivas i former enligt följande etablerade
svenska standarder för informationssäkerhet;
Ledningssystem för informationssäkerhet –
Krav (SS-ISO/IEC 27001: 2006 fastställd
2006-01-19), och
Riktlinjer för styrning av informationssäkerhet
(SS-ISO/IEC 27002:2005 fastställd 2005-08-12).
Tillit inom Skolfederation.se
Specifika krav på parterna
Fysisk skydda system och informationsbärare
Säkerställa urprunget av varje transaktion
(spårbarhet)
Ska hålla registrerade uppgifter aktuella
Använda kryptering där så kan och behövs
1
Inledning
1.1 Beskrivning av verksamheten
1.2 Kontaktuppgifter
2
Personuppgifter
2.1 Användares ansvar
3
Mall för
skolhuvudman
Ledning och styrning
3.1 Informationssäkerhet
3.2 Incidenthantering
3.3 Handlingars bevarande
3.4 Kontroll och granskning
4
Hantering av elektroniska identiteter och attribut
4.1 Identifiering och registrering
4.2 Utfärdande och spärr av elektronisk identitet
4.3 Utgivning av elektroniska intyg
5
Fysisk säkerhet samt spårbarhet
5.1 Fysisk säkerhet
5.2 Spårbarhet
6
Tekniska säkerhetskontroller
6.1 Hantering av kryptografiskt nyckelmaterial
6.2 Systemsäkerhet
1
Inledning
1.1 Beskrivning av tjänsten
1.2 Kontaktuppgifter
2
Personuppgifter
2.1 Användares ansvar
3
Mall för
e-tjänstleverantör
Ledning och styrning
3.1 Informationssäkerhet
3.2 Incidenthantering
3.3 Handlingars bevarande
3.4 Kontroll och granskning
4
Fysisk, administrativ och personorienterad säkerhet
4.1 Fysisk och miljörelaterad säkerhet
4.2 Personorienterad säkerhet
4.3 Spårbarhet
5
Tekniska säkerhetskontroller
5.1 Hantering av kryptografisk nyckelmaterial
5.2 Systemsäkerhet
5.3 Nätsäkerhet
Tillitsdeklarationen
Att ge granskningsgruppen en bild av i vilken
utsträckning kraven är uppfyllda
Använd mallarna som checklista, beskriv
avvikelser
Måste inte vara perfekt
[email protected]