Förvaltningsforum 16 juni 2015 16 juni 2015 1 Dagordning 1. Inledning 2. Statusrapport från undergrupperna 3. Presentation av granskningsprocessen utfärdare/leverantör av Svensk elegitimation 4. Utse delegater från Förvaltningsforum att följa granskningsgruppens arbete (Förutsatt att det finns delegater anmälda) 5. 6. 7. 8. Genomgång av remissversionen av tilläggsavtalen för övergångstjänsten Information om arbetet med underskriftstjänsten Incidenthantering - Incidentmallen Kapacitetsplanering i federationen Prognosmallen – genomgång 9. Utvecklingsplan och ändringshantering Information om arbetet med förändringar i regelverket 10. Övriga frågor 16 juni 2015 2 Undergrupp för användbarhet Anvisningstjänsten – planerad ny prototyp och användningstester i höst o o o o PTS i samverkan med Användningsforum Användare från olika målgrupper bl.a. med olika funktionsnedsättningar Undergrupp för användbarhet är mottagare E-legitimationsnämnden beställer av Cybercom efter undergruppens utvärdering och samråd med Förvaltningsforum o Planen är att en gränssnittsutvecklare från Cybercom följer prototyparbetet och användningstesterna (beslut i augusti) o Ansatsen är att ha produktionssatt en ny (tredje) version av anvisningstjänsten (där man väljer e-legitimation) våren 2016 Länkt till acceptanstestversionen av anvisningstjänsten ”version 2” 16 juni 2015 3 Granskningsmetodik 2015-06-16 Komponenter • Granskningsgruppen • Granskningsmetod – Kommer att publiceras på www.elegnamnden.se inom kort • Granskningsprogram och granskningsdokumentation – Interna arbetsdokument till stöd för granskningen • Granskningsrapport – Tas fram i samband med första granskningen • Testplan och generell testmatris – Särskild testplan tas fram för respektive granskning • Testrapport • Acceptanstestmiljö Granskningsgruppen • 1 kansliresurs – ordförande i granskningsgruppen • 4 IT-revisions och IT-säkerhetskonsulter • 2 partsrepresentanter från Förvaltningsforum • Ev. representant från tillsynsmyndighet • 1 teknisk eID-specialist • 1 administrativ resurs från kansliet (vid behov) • 1 testledare (enbart vid aktivering) Granskningsmetod vid ansökan • Syfte – bedöm efterlevnad av krav i tillitsramverket och andra delar av regelverket • Riskbaserad • Baseras på ansökan och komplettande granskningsåtgärder • Utförs av granskningsgruppen • Tre faser, tio steg Granskningsprocessen Förbereda Granska Besluta Förbereda Genomför Informationsmöte Bekräfta ansökan Granska formalia Fasen beräknas ta ca 2 veckor från inlämnad ansökan Granska Analysera risker Granska ansökan Planera kompletteringar Genomföra kompletteringar Rapportera Fasen beräknas ta ca 8 veckor Besluta Presentera för granskningsgruppen Besluta i nämnden Fasen beräknas ta ca 4 veckor Aktivering efter anslutning • Syftar till att godkänna den produktionssatta legitimeringstjänsten • Avstämning mot krav i Tekniskt ramverk, Bilaga H (användargränssnitt) samt ev. restpunkter avseende säkerhet från initial granskning • Fokus på teknik och tjänst, inte aktör Förbereda Ta fram testplan Kommunicera testplan Arbetet med att ta fram testplan görs parallellt med granskning av ansökan Granska Genomför tester Löpande rapportering Ev. ändring av tjänst Testrapport och beslutsunderlag E-legitimationsnämnden har 60 dagar på sig att genomföra acceptanstest Besluta Presentera för granskningsgruppen Besluta i nämnden Granskningsmetod vid löpande uppföljning • Ett antal initierande faktorer: – Beslut med förbehåll, Riskområden i ansökan, Incidentrapportering, Väsentliga förändringar, Rekommendation från Förvaltningsforum, Omvärldsbevakning, Rutinkontroller • Kan ske på ett antal olika sätt: – – – – – Stickprov Granskning av ändringar Granskning av särskilda fokusområden Extern revision m.m. Förbereda Planera granskningsåtgärd Kommunicera med granskningssubjekt Vissa granskningsåtgärder är inte lämpliga att kommunicera med granskningssubjektet Granska Genomför granskningsåtgärd Avstämning med granskningssubjekt Ev. kompletteringsvändor kan bli aktuella men inte del av huvudprocess Besluta Presentera för granskningsgruppen Besluta i nämnden De flesta granskningsåtgärder föranleder inte beslut i nämnden Övergångslösningen 2015-06-16 Remiss av tilläggsavtal för övergångslösning • Tilläggsavtal för övergångstjänst framtagna – Ger möjlighet att fram till 31 december 2017 nyttja den gamla tekniken med de nya avtalen • Informell remiss till förvaltningsforum och berörda aktörer att inkomma med eventuella synpunkter • Kommer att publiceras på vår webbplats i början av nästa vecka Huvuddragen i avtalen (1) • Genom tilläggsavtalet för leverantör av eID-tjänst åtar sig de leverantörer som vill att leverera den så kallade ”övergångstjänsten”. • Genom tilläggsavtalet för tillhandahållare av e-tjänst väljer de tillhandahållare som vill att ta del av övergångstjänsten och nyttja den i delar eller i sin helhet för sina e-tjänster. • Genom en fullmaktsordning (på samma sätt som övriga anslutningsavtal) binds samtliga leverantörer och tillhandahållare till varandra. • Tilläggsavtalen löper till 31 december 2017 och upphör därefter att gälla. • Tillhandahållare av e-tjänst kan säga upp tilläggsavtalet med 30 dagars varsel. Leverantör av eID-tjänst kan enbart säga upp tilläggsavtalet på samma grunder som själva anslutningsavtalet. • Tillhandahållare av e-tjänst har 18 månader på sig att aktivera övergångstjänsten i förhållande till leverantör av eID-tjänst. Huvuddragen i avtalen (2) • Regelverket gäller i sin helhet, med undantag för de punkter och bilagor som listas i tilläggsavtalet. Det som anges för identitetsintyg ska även gälla övergångstjänsten. • Bilagorna D och E avseende teknisk specifikation och tekniskt ramverk utgår och ersätts istället med kravspecifikationen för ramavtalet eID2008 (”Kraven”). • Ersättning utgår enligt den nya ersättningsmodellen och med identitetsintyg likställs kontroll av identitet och underskrift enligt ramavtalet. • Delar av bilaga F om test har brutits ut och lyfts in i tilläggsavtalet. • Federationsoperatören har inget ansvar utöver det som regleras genom regelverket. Federationsoperatören kontrollerar alltså inte den tekniska integrationen av övergångstjänsten. • Leverantör av eID-tjänst har en skyldighet att erbjuda integration även fortsättningsvis genom mellanliggande leverantörer av systemintegration (EFST). Underskriftstjänst för Svensk e-legitimation • Ramavtal – ”E-förvaltningsstödjande tjänster 2010” (EFST) Två leverantörer har idag godkänd tjänst. Ramavtal upphör i november 2015 – ”Programvaror och tjänster 2014, Informations-försörjning” Börjar gälla i november 2015 (?) • Mer information om avrop finns på såväl Kammarkollegiets som E-legitimationsnämndens webbplats • Vägledning för underskrifttjänst på avropa.se – Vägledning för avrop – Avropsmall – Leveransavtalsmall • Ramavtalen lämnar olika stöd för avrop och hantering av tjänster Kommande förändring Underskriftstjänst • Det ska bli möjligt att vid underskrift sända med textmeddelande som visas för användaren. • Planen är att tillgängliga underskriftstjänster ska få denna funktionalitet under 2015. • Nya underskrifttjänster kommer att testas mot denna funktion • Förändringar i specifikationen för tjänsten • Även förändringar i delar av regelverket Specifikation underskriftstjänst • Aktuell tjänstespecifikation för underskriftstjänst finns på E-legitimationsnämndens webbplats – Består av policy samt normativ specifikation med bilagor • Vid avrop av underskriftstjänst för Svensk e-legitimation – hänvisa till aktuell version av tjänstespecifikation https://www.avropa.se/ramavtal/ramavtalsomraden/it-ochtelekom/IT-tjanster/E-forvaltningsstodjande-tjanster-2010/ Länk till specifikation för underskriftstjänst: http://www.elegnamnden.se/svenskelegitimation/upphandlinga vunderskriftstjanst.4.133ff59513d6f9ee2eb2a3d.html Översikt av inrapporterade incidenter o Mall för incidentrapportering o Förslag framtaget (finns i projektplatsen, mappen Mallar och utkast) o Skatteverket ska testa mallen och återkoppla o Återkoppling? 16 juni 2015 28 Kapacitetsplanering i federationen o Prognoser ska lämnas senast 1/9 o Förslag framtaget (finns i projektplatsen, mappen Mallar och utkast) o Lantmäteriet har testat prognosmallen o Återkoppling? 16 juni 2015 29 Utvecklingsplan och ändringshantering o Förslag på utvecklingsplan (vidareutvecklat) o Förslag (finns i projektplatsen, mappen Mallar och utkast) 16 juni 2015 30 Införande av ny tjänst i regelverket 2015-06-16 Huvuddragen • Två alternativa sätt att tekniskt ansluta sig som leverantör mot federationen – Enligt tekniskt ramverk – Enligt alternativt gränssnitt • Leverantör av eID-tjänst tillhandahåller legitimeringstjänst och levererar identitetsintyg oavsett teknisk anslutning • Det alternativa gränssnittet definieras och begränsas i Bilaga D. Tekniskt ramverk gäller inte. • I övrigt minimala förändringar av regelverket Ändringar i Regelverket • Genom nya definitioner kan de centrala begreppen ”leverantör av eID-tjänst”, ”legitimeringstjänst” samt ”identitetsintyg” behållas intakt • Innebär minimala förändringar i övrigt av regelverkets huvudtext • Bilaga E utgår och Bilaga D och G får omfattande tillägg avseende nya tjänster • Bilagorna B, J, K och L kvarstår utan ändringar • Bilagorna A, C, F, H och I får mindre ändringar Nya definitioner • • • • • • • Identitetsintyg – Kvarstår enligt tidigare definition. Förtydligande infogas om att det gäller ”oavsett tekniskt format” (de två format som specificeras nedan). Identitetsintyg enligt Tekniskt ramverk – Identitetsintyg i sådant tekniskt format som uppfyller kraven i Teknisk ramverk. Identitetsintyg enligt alternativt tekniskt gränssnitt – Identitetsintyg i sådant tekniskt format som levereras av Legitimeringstjänst med alternativt tekniskt gränssnitt. Legitimeringstjänst – Kvarstår enligt tidigare definition. Förtydligande infogas om att det gäller oavsett ”teknisk integration mot Identitetsfederationen” (de två alternativ som specificeras nedan). Legitimeringstjänst enligt Tekniskt ramverk – Legitimeringstjänst som levererar Identitetsintyg enligt Tekniskt ramverk och integrerar direkt mot Tillhandahållare av e-tjänst i Identitetsfederationen. Legitimeringstjänst med alternativt tekniskt gränssnitt – Legitimeringstjänst som levererar Identitetsintyg enligt alternativt tekniskt gränssnitt och integrerar mot Tillhandahållare av etjänst via Intygskonverteringstjänsten. Intygskonverteringstjänst – Den tilläggstjänst som Federationsoperatören tillhandahåller för att konvertera Identitetsintyg enligt alternativt tekniskt gränssnitt till Identitetsintyg enligt Tekniskt ramverk. Bilaga A - Ersättning • Ändras så att ersättningsmodellen även omfattar identitetsintyg enligt alternativt gränssnitt (för tillitsnivå 3) • Samma pris för Tillhandahållare av e-tjänst • Leverantör av eID-tjänst som ansluter med alternativt gränssnitt betalar 15% av ersättningen från Tillhandahållare av e-tjänst till Federationsoperatören för intygskonvertering Ny Bilaga D – Tekniska specifikationer • Det alternativa gränssnittet kommer att specificeras och begränsas – Kommer inte innebära anslutningsproblem för nuvarande utfärdare med nuvarande gränssnitt enligt bedömning – Begränsar dock möjligheterna att ansluta med mindre beprövade eller väldigt avvikande tekniska gränssnitt • Ändringshantering kommer att regleras – Krav på i vilken omfattning och med vilken framförhållning ändringar får göras av alternativt gränssnitt – Undantag möjliga av säkerhetsskäl Bilaga G - Tilläggstjänster • Intygskonverteringstjänsten införs som ny tjänst hos Federationsoperatören • Konverterar identitetsintyg från Leverantör av eID-tjänst så att de passar Tekniskt ramverk • Ansvar för de behandlingar som görs i konverteringen av identitetsintyg • Har ett gränssnitt mot slutanvändare som kan nyttjas för att initiera legitimeringstjänst eller visa enklare information Bilagor C, F, H och I • Bilaga C - Servicenivåer – Intygskonverteringstjänsten förs in med samma SLA-krav som övriga tjänster – I övrigt inga ändringar • Bilaga F – Test – Vissa tillkommande krav avseende medverkan till test om anslutning med alternativt gränssnitt • Bilaga H – Användargränssnitt – Punkten 3 delas upp i krav som gäller legitimeringstjänst enligt teknisk ramverk och krav som gäller legitimeringstjänst med alternativt gränssnitt • Bilaga I – Personuppgiftsansvar – Förtydligande avseende PU-ansvar för intygskonverteringstjänst Ansvarsfrågor • Metodansvar kvarstår som huvudprincip • Leverantör av eID-tjänst ansvarar för leverans av identitetsintyg (fram till intygskonverteringstjänst) – ”Fel i identitetsintyg” hanteras på samma sätt som tidigare – Samma ansvarsbegräsningar som tidigare gäller • Federationsoperatör ansvarar för intygskonvertering – ”Fel i federationsoperatörens fullgörande av åtaganden” hanteras på samma sätt som tidigare – Samma ansvarsbegränsningar som tidigare gäller • Vid rättstvist ska leverantör av eID-tjänst göra sannolikt att felet låg i intygskonverteringstjänsten
© Copyright 2024