Presentation laddar. Vänta.

Presentation laddar. Vänta.

Tillitsdeklarationskurs 2016-02-26 Välkomna till kurs Sambis tillitsramverk och tillitsdeklaration 2016-06-02.

Liknande presentationer


En presentation över ämnet: "Tillitsdeklarationskurs 2016-02-26 Välkomna till kurs Sambis tillitsramverk och tillitsdeklaration 2016-06-02."— Presentationens avskrift:

1 Tillitsdeklarationskurs Välkomna till kurs Sambis tillitsramverk och tillitsdeklaration

2 Utbildning i Sambis tillitsramverk och tillitsdeklaration

3 Lennart Beckman, Beckman Security 3

4 Syfte – denna kurs 4 Ge insikt i Sambis tillitsramverk och tillitsdeklaration Riktad till sökande som ska göra en tillitsdeklaration och genomgå en tillitsgranskning.

5 Innehåll 5 Tillit Tillitsramverk – tillitsdeklaration – granskning Rätt säkerhet – Riskanalys – Regelverk för informationssäkerhet – Revision Mer om Tillitsramverket Att göra en Tillitsdeklaration, ett exempel

6 Syfte – Sambi 6 En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster samtidigt som den personliga integriteten skyddas.

7 Tillit 7 ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten”

8 Tillit, övning 8 Kursen handlar om Tillit, men vad är Tillit?

9 Tillit 9 Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda

10 Användning av Sambi och roller Identitets- intygs- utgivare Attributs- utgivare E-legitimations- utfärdare Tjänste- leverantör Användare Intyg Attribut E-tjänst E-leg Tjänste- leverantör Användar- organisation 10

11 Användning av Sambi och roller Identitets- intygs- utgivare Attributs- utgivare E-legitimations- utfärdare Tjänste- leverantör Användare Intyg Attribut E-tjänst E-leg Medlem 11

12 Sambi Identitets och behörighetsfederation Var ligger ansvaret och för vad? Medlemsregister Medlem uppfyller Regelverk, Tillitsramverk, Policys, e Tjänst Inloggning Intygs- utgivare Inloggning Intygs- utgivare Katalog Behörighets- styrande attribut Intyg -Vem -Vad Intyg -Vem -Vad Federationsoperatör IIS Anvisningstjänst Tillsyn Avtal Vårdgivare Gemensam tjänst Auktorisation 12

13 Ömsesidig tillit 13 Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta, utan att behöva ha djupare insikt i Användarorganisationen Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt, utan att behöva ha en djupare insikt i denna

14 Ramverk – deklaration – granskning 14 Tillitsramverk – Krav som ska uppfyllas för att övriga ska kunna ha tillit Tillitsdeklaration – Redogörelse för hur kraven uppfylls Granskning – Kontroll av att kraven är uppfyllda => Tillit

15 Alla behöver inte granska alla Sambi Medlem Granskning 15 Medlem Granskning Medlem Granskning Medlem Granskning Medlem Granskning

16 Ramverk – deklaration – granskning 16 Tillitsramverk Tillitsdeklaration Granskning

17 Tillitsramverket 17 Säkerheten ska anpassas efter -Hot och sårbarheter -Informationens känslighet, skyddsvärde -Krav på tillit Rätt säkerhet!

18 Rätt säkerhet 18 Säkerhetskraven anges inte i detalj. Utmaningen är att tänka säkerhet, ta ansvar och driva ett traditionellt förbättringsarbete. Kravet är att – ta reda på vad som behövs, – göra det och – kunna visa att det är gjort

19 Hur får vi rätt säkerhet? 19 Kedja: a)Riskanalys – vilka hot behövs skydd mot b)Säkerhetsåtgärder – inför skydd c)Revision – kontrollera skydd

20 Tilllitsramverket 20 Krav A.4: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: (a)En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. (b)Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. (c)Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.

21 Fördel 21 Rätt skyddsnivå för olika roller Konsekvent skyddsnivå för alla Flexibelt, anpassning till ändrade hot

22 Tillitsramverket, uppbyggnad 22 En allmän del som gäller för alla. Specifika krav för olika roller.

23 Tillitsramverket, uppbyggnad 23 A.Generella krav B. E-legitimationsutfärdare C. Attribututgivare D. Identitetsintygsutgivare E. Tjänsteleverantör

24 Ramverk – deklaration – granskning 24 Tillitsramverk Tillitsdeklaration Granskning

25 Tillitsdeklarationen 25 Följer samma struktur som ramverket Svar på hur kraven uppfylls En eller flera funktioner kan deklareras

26 Omfattning - avgränsning 26 Avgränsa, definiera – Begränsa det som ska deklareras – Tydligt ansvar – Tydligt mål Det viktigaste knepet för en enkel och bra deklaration

27 Diskussion 27 Vad ska deklareras?

28 Ramverk – deklaration - granskning 28 Tillitsramverk Tillitsdeklaration Granskning

29 Granskning och roller 29 Identitets- intygs- utgivare Attributs- utgivare E-legitimations- utfärdare Tjänste- leverantör Användare Sambi e-legitimations- nämnden

30 Granskningstjänsten Syfte, nytta 30 Syftet med granskning och godkännande ”Ge förlitande parter en försäkran om att vissa principer är uppfyllda utan att alla behöver ha direkt insyn”

31 Granskningstjänsten Processen 31

32 Granskningstjänsten Organisation 32

33 Rätt säkerhet Krav A.4, i detalj 33 Rätt säkerhet behövs för tillit

34 Krav A.4, igen 34 A.4 Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av:

35 Säkerhetsarbete 35 a)En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. b)Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. c)Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.

36 Riskanalys 36 Riskanalys-det här behövs Strukturerat regelverk - så här ska vi göra Intern kontroll- gör vi det vi ska?

37 Informationssäkerhetsrisk 37 – ”Möjligheten att ett givet hot utnyttjar sårbarheten hos en tillgång eller en grupp av tillgångar och därigenom orsakar organisationen skada.” Hot Tillgång Sårbarhet Risken

38 Informationssäkerhetsrisk 38 KRAV RISK REGELVERK TILLGÅNG SKYDDSÅTGÄRD HOT SÅRBARHET utnyttjar ökar exponerar utsätts för påverkar leder till möter reducerar introducerar indikerar

39 Riskanalys 39 Identifiera Hot Sårbarheter Tillgångar Utförs för området som omfattas av Sambi

40 Riskanalys 40 Gör en riskanalys, använd hotkatalogen som inspiration Risken Prioritera vilka risker som är störst

41 Riskanalys 41 Bedöm Sannolikhet Konsekvens Ger Prioritering av risker

42 Identifiering av informationstillgång 42 Vad vill vi skydda och hur mycket är dessa värda att skydda? Identifiera – Tillgångar (skyddsvärda) – vad används de till?, var finns de? Begränsa till enbart för tjänsten, funktionen och organisationen i fråga som omfattar Sambi

43 Exempel på informationstillgångar 43 Information – patientdatabas, arbetsmetodik, dokument (journaler, kontaktinformation, instruktioner, etc.) Program – applikationer, operativsystem... Tjänster – kommunikationstjänster, identitetsutfärdare... Fysiska tillgångar – servrar, datamedia, nätverk...

44 Övning 44 Beskriv översiktligt vilka tillgångar vi ska skydda.

45 Hot 45 Identifiera hot mot tillgångarna Inspirationskälla: ”Hot och sårbarhetskatalog för medlemmar i Sambi”

46 Hotkatalog, exempel Driftsäkerhet Attacker på fysisk infrastruktur Avsaknad av eller felaktiga rutiner för att underhålla skydd mot skadlig kod Avsaknad av eller felaktiga rutiner för hantering av larm och akuta händelser Destruktion av journaler Felaktiga rutiner för kontroll av spårdata och loggar Förlust av el Förlust av stödtjänster Fel på utrustning Missbruk av releaseverktyg Obehörig användning av programvara Obehörig installation av programvara …

47 Hot- och sårbarhetsidentifiering 47 Identifiera – Hot (inkluderande källa, motivation, hotaktivitet) – Sårbarheter (hos tjänsten, funktionen, processen eller organisationen) – hur skyddas de idag? Begränsa till enbart för tjänsten, funktionen och organisationen i fråga

48 Hot och sårbarheter 48 Hot och sårbarheter Hur få med alla relevanta hot? Kreativt arbete, gärna workshop

49 Exempel på hot och sårbarheter 49 Telefonnummer – Sårbarhet: ingen kontroll av ändringar av egna telefonnummer, ring direkt till telefonisten för ändring, telefonnumret används sedan för att få SMS med engångslösen – Hot: Illvillig person skaffar sig access till omvårdsloggen för att få läsa känslig information. Kontaktpersoner – Sårbarhet: ingen kontroll av ändringar av kontaktperson mot leverantör – Hot: Illvillig person skickar mail med ny kontaktperson (sig själv), ändrar sedan IP adress till egen behörighetskatalog för att kunna ge sig själv (och samtidigt får alla andra) större läs/skrivrättigheter

50 Övning 50 Identifiera några allvarliga hot mot verksamheten.

51 Uppskattning av risk 51 Bedöm för informationssäkerhetsrisken: sannolikhet för hotet dess konsekvens Ger prioritering av risker

52 Sannolikhet och konsekvens 52 Bedöm sannolikheter och konsekvenser. Exempel: fyrgradig skala – Mycket osannolikt (<1 / 10 år) – Osannolikt (<1 / år) – Sannolikt (>1 / år) – Mycket sannolikt (>10 / år) Motsvarande för konsekvens

53 Beräkna risk 53 Beräkna risk (exempel) Risk = Sannolikhet * Konsekvens alternativt Risk = ½ (Sannolikhet + Konsekvens)

54 TillgångHotSannolikhetKonsekvensRisk DatabasIntrång, externt 132 Korrupt data232,5 Exempel

55 Riskvärdering Sannolikhet Konsekvens X X

56 Sammanställ och gruppera 56 Matrisen visar var det finns högst risk. Skyddsvärdet kan variera och behöver tas med vid arbetat att prioritera och i vilken ordning att ta fram åtgärdsförslag.

57 Riskvärdering 57 Välj utifrån behovet för Sambi. Kriterier och målsättningar kan vara: Minimera hög risk Incidentscenarier Legala krav Best practice Ger en lista med risker som prioriteras

58 Exempel på risker att gå vidare med Hot 1 – Incidenter för intyg fångas ej upp – Saknar ansvarig för intygstjänsten – Sannolikhet mycket sällan – Konsekvenser är måttlig Hot 2 – Access till patientdata – Omdirigerar hämtning av behörigheter – Sannolikhet sällan – Konsekvenser är betydande Hot 3 – Access till patientdata – Okänd får access – Sannolikhet regelbundet – Konsekvenser är betydande 58 Prioriterad risk

59 Riskbehandling 59 Riskbehandling: 1.Reducera 2.Bibehålla 3.Undvika 4.Dela eller överföra (Exempel via avtal ska underleverantören hantera risken) 5.Acceptera Definiera plan för riskbehandling, åtgärder och bedömning av kvarstående risker

60 Mål för behandlingen 60 Att utifrån en riskanalys: identifiera förbättringsåtgärder som ökar säkerheten i verksamheten kunna välja lämpliga åtgärder som minskar risken i sammanhanget skapa tillit inom Sambi

61 Exempel på riskbehandlingsplan Hot 3 – Access till patientdata – Okänd får access via SMS engångslösen – Åtgärd: Reducera risken genom att införa rutin som innebär personligt besök, visa upp telefon och id för att kunna tillåta ändring av telefonnummer, varje enskild ärende loggas – Sannolikhet att hotet inträffar försvinner – Konsekvenser är kvar på betydande – Risken finns inte kvar efter åtgärden Hot 1 – Incidenter för intyg fångas ej upp – Saknar ansvarig för intygstjänsten – Åtgärd: Dela risken med leverantör I som får ta hand om support och incidenter samt rapporterar till utsedd ansvarig hos YY – Sannolikhet kvarstår mycket sällan – Konsekvensen sjunker till försumbar Hot 2 – Access till patientdata – Omdirigerar hämtning av behörigheter – Åtgärd: Reducera risken genom att införa rutin att ansvarig hos YY måste bekräfta oberoende kontaktpersons ändring mot leverantör I – Sannolikhet att omdirigering inträffar försvinner – Konsekvenser är kvar på betydande – Risken finns inte kvar efter åtgärden

62 Riskacceptans 62 Fatta formellt beslut om acceptans och ansvar för risker och registrera beslut Undantag från mål (normala nivåer) skall motiveras Uppdatera och dokumentera informationssäkerhetsregelverket enligt riskbehandlingsplanen

63 Tillitsdeklarera riskhantering 63 Från granskningsinstruktionen: Har Sökanden beskrivit planering, periodicitet, fastställande av kontext, riskbedömning och riskidentifiering, riskbehandling, riskkommunikation och hur säkerhetsregelverket uppdateras för riskanalyser? Granskaren ska beakta -Har en riskanalys genomförts? -Stämmer inriktningen och omfattningen på riskanalysen med den aktuella tjänsten? -Har riskanalysen resulterat i en åtgärdsplan?

64 Strukturerat regelverk 64 Riskanalys-det här behövs Strukturerat regelverk -så här ska vi göra Intern kontroll-gör vi det vi ska?

65 Strukturerat regelverk 65 För tjänsten i fråga: Krav på säkerhetsåtgärder som hanterar riskerna Följ ISO/IEC – En lättanvänd standard – Innehåller alla tänkbara åtgärder – Välj de som är relevanta

66 Befintlig informationssäkerhet 66 Samla alla säkerhetsinstruktioner och regler som berör tjänsten Strukturera dem enligt standarden

67 Diskussion 67 Vilka informationssäkerhetsregelverk finns hos respektive organisation?

68 Standarden ISO/IEC Regelverk för styrning av informationssäkerhet Information Security Management System, ISMS Ett sätt att ha kontroll över informationssäkerhet

69 Struktur 69 Ofta hierarkiskt uppbyggt Policy Riktlinjer ”Vad” Instruktioner, processer, SOP:ar ”Hur”

70 Praktiskt användbar Heltäckande Välj enbart det som behövs (styrs av riskanalysen)

71 Innehåll Informationssäkerhetspolicy 2.Organisation 3.Personalsäkerhet 4.Hantering av tillgångar 5.Styrning av åtkomst 6.Kryptering 7.Fysisk säkerhet 8.Driftsäkerhet 9.Kommunikationssäkerhet 10.Anskaffning, utveckling och underhåll av system 11.Leverantörsrelationer 12.Hantering av incidenter 13.Kontinuitet 14.Efterlevnad

72 Exempel ur standarden 72

73 Exempel på regelverk 73 Hantering av tillgångar … Informationsklassificering Riktlinje: All information ska vara klassificerad med avseende på sekretess. Instruktion: Ansvarig för informationsklassificering är informationsägaren. Om inget annat sägs är den som skapat informationen också ägare. Information klassificeras enligt: Om in annat anges klassificeras information som ”Intern”.

74 Uppdatera säkerhetsregelverket 74 Välj enbart ut de krav ur standarden som behövs. Kriterier: Hög risk Legala krav Best practice

75 Uppdatera säkerhetsregelverket 75 Uppdatera regelverket på ovanstående punkter Behövs bara för tjänsten ifråga.

76 Ledningssystem för informationssäkerhet 76 Deklarationsmallen: Beskriv ledningssystemet och ange om det följer ISO/IEC Redovisa eventuell avvikelse från ISO/IEC 27001, och motivera i sådana fall detta. När en Betrodd Part har ett certifierat ledningssystem för informationssäkerhet som omfattar Tillitsramverket, bifoga även kopia av detta certifikat.

77 Leverabel 77 Den sökande ska: Beskriva ledningssystemet enligt ovan Bifoga ledningssystemet

78 Säkerhetsregelverket Nivå 78 Den sökande ska visa att man har ett rimligt och relevant säkerhetsarbete för sin tjänst, baserat på riskanalys. Avsikten är inte att detaljgranska regelverket. Det behöver t.ex. inte certifieras mot

79 Kommunicera säkerhetsregelverket 79 Kommunicera ut informationssäkerhetsregelverket Hantera incidenter Utarbeta och testa kontinuitetsplan Lyft fram bevis på efterlevnad Motivera medarbetaren!

80 Internkontroll 80 Riskanalys-det här behövs Strukturerat regelverk - så här ska vi göra Intern kontroll- gör vi det vi ska?

81 Internkontroll 81 Internrevision Visa att regelverket hanterar riskerna Visa att regelverket är känt Visa att regelverket följs

82 Internrevision 82 Kontrollera och ge återkoppling Verifiera att säkerhetsåtgärderna är effektiva: – Läs regler, loggar och rapporter, lyssna på intressenterna och jämför med hur de borde vara – Prata med medarbetare och chefer, jämför med vad du vill höra – Sammanfatta i en rapport, ge beröm för sådant som fungerar och lista förbättringspotential Utförs av oberoende part. Kriterium ”har en annan chef”.

83 Åtgärdsplan 83 En internrevision ska ge en åtgärdsplan för att förbättra säkerhetsåtgärderna för tjänsten

84 Tillitsdeklarera internrevision 84 Deklarationsmallen: Beskriv för internrevisionerna genomförandet, rapporteringen och hur avvikelser/förbättringsförslag hanteras. För riskanalysen, ledningssystemet och internrevisionen ska motsvarande åtgärdsplaner uppvisas.

85 Mer om Tillitsramverket 85 Översikt av ytterligare några krav

86 Incidenthantering A.6 Medlem ska inrätta en process för incidenthantering som innefattar vidarerapportering till Federationsoperatören i enlighet med de av Federationsoperatören angivna instruktionerna. Är incidenthanteringsprocessen tillfredsställande beskrivet? Inkluderar processen korrigerande och förebyggande åtgärder som resultat av incidenter?

87 Underleverantörer Ramverket : Ansvar för användning av Leverantörer A.9 Betrodd part som lägger ut utförande av Funktion på Leverantör är som huvudman ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, oavsett avtalsform, och ska redogöra för hur Leverantören uppfyller kraven så som om det vore utfört av den Betrodde Parten själv. I denna redogörelse ska Betrodd Part bl.a. redovisa: (a)hur Leverantören uppfyller kraven i Tillitsramverket. (b)vilka Funktioner och kritiska processer som har lagts ut på Leverantör och hur Betrodd Part säkerställer att Leverantörens uppfyller kraven för dessa. (c)de avtal som definierar vilka Funktioner som har lagts ut, hur kraven uppfylls av Leverantören samt hur uppföljningen utförs.

88 Underleverantörer Deklarationsmallen: Detta krav anger att tilliten inom Sambi ska vara oberoende av om organisationen använder sig av Leverantörer eller utför i egen regi. Samtliga krav ska uppfyllas och redovisas oavsett var tjänsten eller Funktionen utförs. I fall Leverantörer används ska det för samtliga krav redovisas hur Leverantörerna uppfyller dem. Detta gäller speciellt det centrala kravet A.4, där riskanalys ska göras hos respektive Leverantör, ett ledningssystem ska finnas och internrevision ska göras. Detta krav påverkar således hur samtliga övriga krav ska besvaras.

89 Handlingars bevarande A.10 Betrodd Part ska, i tillämpliga delar, bevara (a)avtal, (b)styrande dokument, (c)handlingar som rör förändringar av uppgifter hänförliga till Användare, Attribut och Metadata, och (d)övrig dokumentation som stöder efterlevnaden av de krav som ställs på denne, och som visar att de säkerhetskritiska processerna och kontrollerna fungerar. Lista allt material som ska arkiveras därför att de ingår i organisationens tillämpning av tillitsramverket och ISO Beskriv hur material listat i A.10 identifieras och arkiveras.

90 Handlingars bevarande A.11 Tiden för bevarande ska inte understiga tre år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritets­ synpunkt och har stöd i lag eller annan författning. Beskriv hur det säkerställs att listad materielmaterial enligt A.10 kan tas fram och läsas. Redovisa om avvikelse sker från angiven tid enligt krav A.11, och motivera i sådana fall detta.

91 Informationskrav A.12 Betrodd Part ska tillhandahålla uppgifter om avtal, villkor samt anknytande uppgifter och eventuella begränsningar i användandet av tjänsten till Användare, Tjänsteleverantörer och andra som kan komma att förlita sig på dennes tjänst. A.13 Betrodd Part ska till Federationsoperatören tillhandahålla en Tillitsdeklaration som beskriver hur Betrodd Part uppfyller Tillitsramverket. Dokumentet ska följa av Federationsoperatören angivet format. Till denna ska bifogas efterfrågade dokument enligt detta tillitsramverk. A.14 Betrodd Part ska på begäran av Federationsoperatören lämna uppgifter om hur verksamheten ägs och styrs. A.15 Betrodd Part ska på ett tydligt sätt informera sina Användare och Federationsoperatören om villkor för tjänsten vid nyteckning eller ändring av tjänsten. Betrodd Part ska informera Federationsoperatören även vid ändringar av kontaktpersoner, federationsgemensamma metadata och attribut. A.16 En Betrodd Part som upphör med sin verksamhet ska informera berörda Användare, Betrodda Parter och Federationsoperatören. Den Betrodda Parten ska hålla arkiverat material tillgängligt i enlighet med A.10 och A.11. Är krav A.12 bekräftat och har deklaranten tillfredsställande beskrivit hur dessa uppgifter tillhandahålls? Har den Sökande tillhandahållit en Tillitsdeklaration i rätt version och format? Har alla efterfrågade dokument bifogats? Är detta bekräftat ooch är tillvägagångssättet för att aktivt informera användarna om villkoren vid nyteckning eller ändring av tjänsten tillfredsställande beskrivet? Är detta bekräftat och är förberedelser för detta tillfredsställande beskrivet?

92 E-legitimationsutfärdare 92 Ramverket: B.1 E-legitimationsutfärdare ska vara godkänd av E- legitimationsnämnden som Utfärdare av Svensk e- legitimation på tillitsnivå 3 i enlighet med E-legitimationsnämndens tillitsramverk.

93 Attribututgivare C.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. Hänsyn ska tas till resultatet av riskanalysen avseende vilka attribut som är viktigast ur säkerhetssynpunkt. Vissa attribut styr inte behörigheter utan är enbart informativa. Beskriv hur det säkerställs att attribut är korrekta. Beskriv även hur attribut hålls aktuella över tiden. Beskriv vilka verifieringar som görs.

94 Identitetsintygsutgivare D.1 Betrodd Part som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg före­gås av en tillförlitlig kontroll av att den angivna Användarens Elektroniska identitet och Attribut är giltiga.

95 forts. D.2 Lämnade Identitetsintyg ska vara giltiga endast så länge som det krävs för att Användaren ska få tillgång till den efterfrågade E-tjänsten. D.3 Identitetsintyg ska skyddas så att infor­mationen endast är läsbar för den mottagande Tjänsteleverantören och att denne kan kontrollera att mottagna intyg är äkta. D.4 Identifierade Användares anslutningar mot intygsutgivningstjänsten ska tidsbegränsas, varefter en ny identifiering av Användaren ska ske i enlighet med D.1.

96 Tjänsteleverantörer E.1 Tjänsteleverantör ska specificera vilka Attribut och Tillitsnivåer som används för Tjänstens behörighetskontroll. E.2 Tjänsteleverantör ska skydda Användares identitet och tillhörande Attribut. E.3 Tjänsteleverantör ska informera Användare om informationen sprids eller används på annat sätt än för behörighetsstyrning.

97 Tillitsdeklarationen 97 1.Säkerställ att Sambis tillitsramverk uppfylls 2.Fyll i Word mallen

98 Tillitsdeklaration exempel, inledning 98 Namn på Funktionen Ange entydigt den funktion som tillitsdeklarationen avser SITHS, HSA och Inera säkerhetstjänster hos Staden

99 Exempel inledning 99 Beskriv Funktionen Ge kortfattad beskrivning av denna Identitetsutfärdande, attributhantering och intygsutfärdande för anställda och inhyrd personal för åtkomst till lokala och nationella tjänster inom omsorg

100 Övning 100 Beskriv den funktion som ska deklareras.

101 Exempel inledning 101 Del av organisationen Beskriv vilka delar av organisationen och vilka roller som hanterar Funktionen Funktionen hanteras lokalt av konsult- och servicekontoret samt fastightskontoret. Attributshanteringen hanterss av systemförvaltare inom berörd förvaltning, idag endast Omsorg och Socialstödsförvaltningen. Systemägare av Stadsledningens informationssäkerhetsansvarig.

102 Exempel generella krav 102 Beskriv Funktionen Beskriv hur länge och i vilken omfattning organisationen arbetat med de områden som avses i denna Tillitsdeklaration. Utfärdandet påbörjades i samband med det nationella införandet av Pascal för cirka 3-4 år sedan.

103 Exempel krav A Beskriv för riskanalyser hur de planeras, periodicitet, fastställande av kontext, riskbedömning och riskidentifiering, riskbehandling, riskkommunikation och hur säkerhetsregelverket uppdateras. Staden utför årliga övergripande riskanalyser för utfärdandet. Resultat av senaste riskanalys visar på faktisk kontext, bedömning, behandling. Avseende säkerhetsregelverkets förbättringsarbete se nedan. Stadens underleverantör Inera utfördetaljerade riskanalyser för funktionerna HSA, SITHS och Säkerhetstjänster.

104 Exempel krav A Beskriv ledningssystemet och ange om det följer ISO/IEC Redovisa eventuell avvikelse från ISO/IEC 27001, och motivera i sådana fall detta. När en Betrodd Part har ett certifierat ledningssystem för informationssäkerhet som omfattar tillitsramverket, bifoga även kopia av detta certifikat. Ledningssystemet i Staden har i tillämpliga delar utformats i enlighet med ISO/IEC som inbegriper hela kommunen och samtliga verksamheter inkluderat utfärdandet. Informationssäkerhetspolicy är beslutades av KF. Informationssäkerhetsarbetet är riskbaserat och har en inbyggd process för kontinuerliga förbättringar. Styrande dokument för informationssäkerhetsarbetet, i form av policy, riktlinjer, anvisningar och rutiner, är Stadens allmänna dokument.

105 Exempel krav A Arbetet initieras med klassning och en verksamhetskonsekvensanalys. Utifrån resultatet görs en mappning mot Stadens kontrollkatalog (KLASSA) för att få en grundnivå avsäkerhetskontroller. Efter detta genomförs riskanalys och utifrån bedömning och hantering av risker så uppdateraas den specifika kontrollkatalogen vid behov. Den specifika kontrollkatalogen blir systemägarens krav på säkerhetskontroller och åtgärder för alla ingående tillgångar i tjänsten. Kraven införlivas i förvaltningsplanen för tjänsten och implementeras. Klassning, riskhantering och kontrollkatalogen uppdateras minst årligen.

106 Exempel krav A Erfarenheter från incidenthantering, resultat från penetrationstester, granskningar och revisioner initierar också ny genomgång autifrån ett riskperspektiv samt en eventuell uppdatering av kontrollkatalogen. Effektiviteten i informationssäkerhetsarbetet mäts genom antalet incidenter och antalet upptäckter i penetrationstester och granskningar under året.

107 Exempel krav A Beskriv för internrevisionerna genomförandet, rapporteringen och hur avvikelser/förbättringsförslag hanteras. Kommunens revisorer genomför granskning och kontroll inom Staden med stöd av externa revisorer. Vad som kontrolleras fastställs årligen av kommunstyrelsen i en kontrollplan. Vid internkontroll av informationssäkerhet används ett flertal olika arbetsmetoder, vilka är både administrativa och tekniska. De administrativa kontrollerna kan genomföras i form av enkäter, intervjuer men även resultatet av återkommande riskanalyser. De tekniska kontrollerna används för att säkerställa att säkerhetslösningar är korrekt implementerade. Dessa kontroller är aktiva till sin karaktär och utförs alltid av oberoende specialister, exempelvis penetrationstester. För kontroll av fysisk säkerhet genomförs besiktningar på plats.

108 Exempel krav A Beskriv för förbättringsplanen hur den beslutas, prioriteras, resursätts, tidsätts genomförs och följs upp. Förbättringar och årliga mål för arbetet ingår i den normala verksamhetsplaneringen. För beslutade förbättringar och de årliga målen anges: o Vad som ska göras under året och hur det skall göras. o Tidsplan. o Behov av personella och ekonomiska resurser. o När och hur uppföljning, utvärdering och avrapportering ska ske. o Hur medarbetare ska informeras och utbildas.

109 Exempel krav A Beskriv hur nyckelhantering sker och hur de tekniska kraven i Bilaga 2 uppfylls. Detta sker enligt SITHS regelverk.

110 Exempel krav A Ansvar för användning av Leverantörer A.9 Betrodd part som lägger ut utförande av Funktion på Leverantör är som huvudman ansvarig för Leverantörens uppfyllande av kraven i Tillitsramverket, oavsett avtalsform, och ska redogöra för hur Leverantören uppfyller kraven så som om det vore utfört av den Betrodde Parten själv. Drift av identitetsutgivning, attributhantering och intygsutfärdande är utlagt till Inera. Denna Tillitsdeklaration baseras på Ineras godkännande som Betrodd Part i Sambi för dessa funktioner.

111 Diskussion 111 Vilka leverantörer används?

112 Exempel krav A A.13 Betrodd part ska … tillhandahålla en Tillitsdeklaration … Till denna ska bifogas efterfrågade dokument enligt detta Tillitsramverk. Staden listar förljande dokument: Informationssäkerhetspolicy Riktlinjer Tjänsteavtal EK HPT (via SLL) RAPS (via SLL) LIS och SAMBI Därutöver finns skyddsvärt material från exempelvis riskanalyser och hotanalys tillgängliga för påseende hos Staden.

113 Exempel krav B B.1 Elektronisk identitetsutfärdare ska vara godkänd av E-legitimationsnämnden som Utfärdare av Svensk e-legitimation på tillitsnivå 3 i enlighet med E- legitimationsnämndens tillitsramverk. Stadens underleverantör Inera (via SLL) har begärt granskning av E- legitimationsnämnden avseende SITHS (CSP) och Säkerhetstjänster (IdP) så denna ansökan görs med förbehåll att de brister som uppdagats tillrättaläggs och leder till ett godkännande av E-legitimationsnämnden.

114 Exempel krav C C.1 Informationsinnehållet i Attribut ska vara korrekt, aktuellt samt verifierat mot ursprungskällan. Staden följer ingångna avtal med Inera (via SLL) aveende HSA där detta tydligt framgår av avtalet med tillhörande bilagor som exempelvis HSA-policy med tillhörande HPT.

115 Exempel krav D D.1 Betrodd Part som tillhandahåller tjänst för utgivning av Identitetsintyg ska se till att denna tjänst har god tillgänglighet och att utlämnande av Identitetsintyg föregås av en tillförlitlig kontroll av att den angivna Användarens Elektroniska identitet och Attribut är giltiga. Drift av identitetsutgivning, attributhantering och intygsutfärdande är utlagt till Inera. Denna Tillitsdeklaration baseras på Ineras godkännande som Betrodd Part i Sambi för dessa funktioner.

116 Hur genomför man projektet? 116 Planera – genomföra Mål som är tidsatt, avgränsat och dokumenterad – Definiera delmål Resurser – Utpekade och fått tid avsatt för genomförandet – Med klar ansvar och tillhörande befogenheter – Tydliga eskalerings- och rapporteringsvägar Uppföljning och kvalitetssäkring – Internkontroll

117 Hur gör man? 8 punkter Definiera tjänsten som avses i ansökan till Sambi 2.Dokumentera organisationen (rapporteringsvägar, ansvariga och ansvar) som styr tjänsten 3.Meddela Sambi vem som är avtalsansvarig och kontaktpersoner mot Sambi 4.Dokumentera alla informationssäkerhetsregler som styr tjänsten, följ ISO Gör en riskanalys för att checka om säkerhetsåtgärderna räcker, använd hot- och sårbarhetskatalogen som inspiration 6.Uppdatera, och dokumentera, säkerhetsåtgärderna där det behövs enligt resultatet från riskanalysen 7.Gör internrevision för att kontrollera kvalitén på implementationen av säkerhetsåtgärderna för tjänsten och att de följer standarden 8.Fyll i och skicka in tillitsdeklarationen till Sambi.

118 Sammanfattning 118 Avgränsa arbetet till det ansökan avser – Användarorganisation – eTjänsteleverantör Dokumentera tjänstens organisation och regler Riskanalysen sätter säkerhetsåtgärdernas nivå Komplettera regler vid behov Uppföljning checkar implementation Tillitsdeklarera och visa upp att federationen kan lita på din tjänst.

119 Vi har gått igenom 119 Tillit Tillitsramverk – tillitsdeklaration – granskning Rätt säkerhet – Riskanalys – Regelverk för informationssäkerhet – Revision Mer om Tillitsramverket Att göra en Tillitsdeklaration, ett exempel


Ladda ner ppt "Tillitsdeklarationskurs 2016-02-26 Välkomna till kurs Sambis tillitsramverk och tillitsdeklaration 2016-06-02."

Liknande presentationer


Google-annonser