Download   Report
  1. No category

Status - E-legitimationsnämnden

Status - Genomförande av rekommendationer (MSB)
2015-04-17
Färgernas betydelse
- har mer än tre månader kvar, har problem eller är försenad
- uppstartsläge
- pågår enligt plan
- ej påbörjat
- avslutat
Åtgärd
1.
2.
Klart datum
Status
Hösten 2015

Överblick åtgärder MSB-rapporten
Ytterligare strategisk teknisk kompetens till E-legitimationsnämnden
Undergrupper till Förvaltningsforum bildade.
En formaliserad samverkan med MSB finns.
Genomgång av hela systemet ur ett informationssäkerhetsperspektiv när
den tekniska lösningen har etablerat sig i dess olika delar.
Förnyad riskanalys tillsammans med deltagare från Förvaltningsforum.
April 2016


3.
Kravställning som innebär att de handlingar som ska skrivas under går att
presentera på ett tillförlitligt sätt för användaren.
Dec 2015

4.
Myndigheter med e-tjänster som ska använda Svensk e-legitimation
genomför en grundlig behovsanalys innan tjänsten tas i bruk.
Juni 2016

5.
Definiera minimikrav på säkerhet i de skrivningar som ger utrymme för
tolkningar och subjektiva bedömningar.
Dec 2015

6.
Ta fram en plan för framtida utveckling av Svensk e-legitimation.
Dec 2015

7.
På begäran utöka den information som skickas till förlitande parter
(exempelvis e-tjänsteleverantörer) med riskinformation vid behov.
Dec 2015

8.
Ta fram tydliga rekommendationer till e-tjänst- och
underskriftsleverantörer avseende utformning av användargränssnitt.
Start 1 aug 2015

9.
Riktlinjer för oavvislighet
Nov 2015

Sept 2015


10. Centrala tjänsterna kan hantera överbelastningsattacker.
Ta fram riktlinjer för att DoS/DDoS-problematiken hanteras i samtliga
lager som hanterar informationsflödet och dess underliggande system.
Dec 2015
Åtgärd
Klart datum
Överblick åtgärder MSB-rapporten
forts.
April 2015
11. Regelbunden och tydligare granskning och kontroll inkl.
incidenthantering.
Status

12. En rutin för att löpande hantera svagheter i algoritmer rörande
krypteringslösningar.
Aug 2015

13. Kryptoalgoritmer bör brytas ut till ett eget kravdokument som kan
versionshanteras separat.
Aug 2015


14. Stöd för SHA-1 tas bort ur dokumentationen.
15. Genomför en analys och vidta åtgärder för att hantera de identifierade
riskerna (angreppsscenarier).
Maj 2015

16. ”Fyra rekommendationer som är kopplade till SAML”
Maj 2015

20. Heltäckande säkerhetsgranskning av oberoende tredje part.
Aug 2015

21. Väldefinierad och publicerad process för godkännande, verifiering och
driftsättning.
April 2015

22. Kravställning på den centrala infrastrukturen bör i högre grad peka på
standarder och ”best practices” inom informationsområdet.
Nov 2015

Uppdatering av tekniskt ramverk
20150417
Utgångspunkter för utvecklingen av
ramverket
•
•
•
•
•
Riskbaserat
Kostnadseffektivitet
Interoperabilitet
Ligga i saml’s mittfåra
Kunna nyttja standardsprodukter så långt
möjligt
Ny version av tekniskt ramverk (1)
Syftar till att säkerställa en säker och korrekt hantering av
SAML-meddelanden mellan Legitimeringstjänst och etjänst.
• Har lyft fram och tydliggjort vilka säkerhetskontroller
som måste göras.
• Krav på hur en e-tjänst ska validera ett mottaget intyg.
• Klargöranden hur en viss tillitsnivå explicit kan
efterfrågas i en legitimeringsbegäran.
• Krav på Legitimeringstjänster hur SSO ska hanteras.
• ”LoA-nivå ej definierad” – tydliggjorts vad som gäller.
• Oombedda intyg är inte längre godkända att använda.
Ny version av tekniskt ramverk (2)
Ändringarna avser följande
• Signerade request eller ej – beskriver hur det
det kan hanteras.
• Förenklat användning av mobile-auth som styr
nu endast matchningslogik.
Spårbarhet till rekommendationer
• Hanterar vissa av riskerna i rekommendation
nr 15 + 19
Stående punkter
o Översikt av inrapporterade incidenter
o Kapacitetsplanering i federationen
o Utvecklingsplan och ändringshantering
Kontaktvägar och rapporteringsrutiner
o Regelverket: Anslutningsavtal, Bilaga J
o Rapportering och återkoppling ska ske med elektroniska
medel
o Meddelanden ska tillställas kontaktperson enligt
anslutningsavtal (om inte annat meddelats för ändamålet)
o Behov av en effektiv plattform för dokumentdelning och
samverkan
o Förslag och synpunkter?
Rapporterade incidenter i mars
o Månadsrapport för Federationstjänster
Översikt av inrapporterade incidenter
o Part ska utan dröjsmål rapportera Allvarliga driftstörningar
och Allvarliga säkerhetsincidenter (Bilaga J)
o Allvarlig driftstörning: Rapporteringspliktig incident som har
påverkan på aktuell Parts förmåga att fullgöra de driftrelaterade
åtaganden som följer av Regelverket och som kan innebära en
betydande störning för Tillhandahållare av e-tjänst, samt
o Allvarlig säkerhetsincident: Rapporteringspliktig incident med
påverkan på säkerhetsskyddet omgärdande hanteringen av elegitimationer, som kan komma att föranleda omedelbara
åtgärder från Federationsoperatörens sida.
o Incidenter rapporteras till federationens kundtjänst
Kundtjänst inom federationen
o Supportfunktion för aktörerna
o Kontaktas via federationswebb, mail eller telefon
o Hanterar ärenden vilket omfattar bl a:
o Incident- och problemhantering
o Ändrings- och releasehantering
o Supportfrågor
o Tilläggstjänster
o Bråd tid
o Extra öppet kundtjänst
o Extra öppet testfederation
Incidentrapport enligt Regelverket, Bilaga J
o Incidentrapport ska omfatta:
o
o
o
o
o
o
(a) den rapporterande Partens namn (rapportör),
(b) kort beskrivande benämning på händelsen (namn),
(c) unik referens för händelsen (referens),
(d) status på händelsen (status),
(e) kategorisering av händelsen (kategorisering),
(f) när händelsen inträffade eller den uppskattade tidpunkten för
den (tidpunkt),
o (g) när Parten upptäckte händelsen (upptäckt),
o (h) en översiktlig beskrivning av händelsen (beskrivning) och
o (i) bedömning av händelsens omfattning och konsekvenser samt
annan information som kan vara av värde för övriga Parter
(analys).
Kapacitetsplanering i federationen
o Baseras på lämnade prognoser men även på
annan tillkommande information som lämnats
av respektive Tillhandahållare av e-tjänst
(Regelverket Huvudtext, Samarbetsformer
4.8.5)
o Samordna beställning av tilläggstjänster
o Bråd tid
o Extra öppet i kundtjänst
o Extra öppet testfederation
Regelverket Huvudtext, Samarbetsformer 4.8.5
o ”Part ska medverka i samarbetet inom
Identitetsfederationen och därvid samarbeta och samråda
med övriga Partner samt i skälig omfattning informera dessa
Parter om de omständigheter som kan antas påverka vad
som regleras i Regelverket. Tillhandahållare av e-tjänst ska
bland annat i god tid informera Federationsoperatören om
period då någon av tillhandahållarens anslutna e-tjänster
förväntas vara utsatt för extra hög eller tidskritisk belastning
eller Tillhandahållaren av e-tjänst annars kan komma att
behöva extra stöd. Federationsoperatören ska kommunicera
sådan information vidare till Leverantörerna av eID-tjänst.”
Utvecklingsplan (förslag) och ändringshantering
o Syftar till:
o Att säkerställa framförhållning vid förändringar som påverkar Svensk elegitimation och identitetsfederationen
o Målgrupp
o Aktörer som är del av identitetsfederationen och som har tjänster som
påverkar och/eller påverkas av förändringarna som planen omfattar
o Omfattning
o Visar aktiviteter som utvecklar Svensk e-legitimation och som innebär
att aktörernas åtgärder måste synkroniseras. Visar inte ändringar av
kosmetisk karaktär eller där förändringar inte påverkar konceptet i sak
o Förvaltning
o Förvaltas av E-legitimationsnämndens kansli och kommuniceras inom
Förvaltningsforum
Utvecklingsplan och ändringshantering
o Förslag på utvecklingsplan
o Synpunkter?
Granskningsgruppen
2015-04-17
Referens-/kontrollpersoner
• Granskningsgruppen består i dagsläget av kansliresurser samt
upphandlade IT-revisorer och IT-säkerhetsexperter
• Tanke att involvera experter från anslutna tillhandahållare av etjänster
–
–
–
–
Full insyn i hela processen/extern kontroll
Deltar på det djup som önskas – inga förväntningar
Möjlighet att uttrycka avvikande åsikter i beslutsunderlag till nämnden
2 personer från olika tillhandahållare, väljs i förvaltningsforum på
årsbasis
• Tanke att bjuda in expert från MSB (eller motsv.) att delta i
granskningsgruppen på motsvarande sätt
– Tveksamt om intresse finns
– Om förvaltningsforum tycker att det är en bra idé kan åtminstone
frågan ställas
länk - E-legitimationsnämnden

länk - E-legitimationsnämnden

SVEA E-‐tjänst™ -‐ Egenkontroll via dator eller app!

SVEA E-‐tjänst™ -‐ Egenkontroll via dator eller app!

Tilläggsavtal - Leverantör av eID-tjänst - E

Tilläggsavtal - Leverantör av eID-tjänst - E

Tilläggsavtal till anslutningsavtal

Tilläggsavtal till anslutningsavtal

Blindkarta över Europa

Blindkarta över Europa

TATA79 Inledande matematisk analys Uppgifter 2a

TATA79 Inledande matematisk analys Uppgifter 2a

Identitetsintyg enligt Tekniskt ramverk - E

Identitetsintyg enligt Tekniskt ramverk - E

Ladda gärna hem vår egenbeskrivning till Sveriges IT

Ladda gärna hem vår egenbeskrivning till Sveriges IT

Mittköpings processbeskrivning - Sveriges Kommuner och Landsting

Mittköpings processbeskrivning - Sveriges Kommuner och Landsting

Förteckna arkiv

Förteckna arkiv

E-TJÄNST FÖR BARNOMSORG

E-TJÄNST FÖR BARNOMSORG

kommunförbundet 2015-04-23_1

kommunförbundet 2015-04-23_1

Promemoria: Verksamhetsanalys och riskanalys

Promemoria: Verksamhetsanalys och riskanalys

Regeringskansliet Faktapromemoria 2016/17:FPM39 Åtgärder för

Regeringskansliet Faktapromemoria 2016/17:FPM39 Åtgärder för

Vägledning

Vägledning

Intinor Direkt-mottagare SDI

Intinor Direkt-mottagare SDI

Rekonstruktion och optimering av laddningstid för en webbsida i

Rekonstruktion och optimering av laddningstid för en webbsida i

Utveckling av web-baserad hantering avhandböcker och

Utveckling av web-baserad hantering avhandböcker och

abcdocz.com

© Copyright 2024