Presentation laddar. Vänta.

Presentation laddar. Vänta.

Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg.

Liknande presentationer


En presentation över ämnet: "Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg."— Presentationens avskrift:

1 Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg

2 Internetstiftelsen i Sverige

3 Internetguider Webbstjärnan Bredbandskollen Internetdagarna Internetmuseum Internetstatistik Barnhack Internetfonden Digital delaktighet Kursportal Teknik Hälsoläget.se.nu

4

5

6

7 IIS är federationsoperatör Skolfederation Sambi eduroam

8 Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten.

9 Sambi - SAMverkan för Behörighet och Identitet inom hälsa, vård och omsorg Visionen - att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela den svenska vård- och omsorgssektorn. Användarorganisationer och e-tjänster ska sammanlänkas i en nationell lösning som bygger på tillit till användarnas inloggningsuppgifter och skydd för den personliga integriteten.

10 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Uppgifter för en Federationsoperatör

11 Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Attributförvaltning Information Sambi

12 Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts,.SE (styrgruppens ordförande)

13 Sambis arbetsgrupp

14 Historia 2007 Swamid - Den tekniska förebilden 2011SIS/TK450 - Skolfederation 2012De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, Inera och IIS

15 Swamid, Bildades 2007 Idag 54 anslutna organisationer, universitet, högskolor, m.fl.

16 Skolfederation - Medlemsutveckling 132 Totalt 94 Skol- huvudmän 38 Tjänstelev.

17 38 st tjänsteleverantörer är medlemmar Skolfederation

18 Kommuner Landsting Privata vårdgivare Myndigheter Apoteksaktörer Tandläkare Regionförbund Privata omsorgsgivare Veterinärer Invånare Informations- infrastruktur... Förstudierapport Sambi från 2012 Målgrupper

19 De 16 principerna för samverkan Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk 9. att kravställa federativ förmåga i varje tjänst 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer

20 Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner apoteksaktörer tandläkarmottagningar privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn

21 Samverkan Samverkan utgående från vilken kultur och tradition? Landsting, kommunal, apoteksaktörer, … Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eIDAS) …

22 Tillvägagångssätt Var smal och grund! Fokusera samarbetet på identiteter och attribut för SSO

23 Samverkan Teknisk standard Gemensam infrastruktur Sambi Krav på säkerhet Behörighets- styrande attribut

24 Mål för Sambi Användarorganisation Valfrihet, att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare Användare SSO, En inloggning till alla tjänster Tjänsteleverantör Slippa administration av användare Enklare integration av kunderna Sektorn Ökad säkerhet Stimulera utveckling

25 Kostsamt med olika integrationer E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör Användar- organisation

26 En standard för integrationen Användar- organisation Federation Gemensam Standard Regler En minimal infrastruktur E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör

27 Standardiserad infrastruktur Vi har kommit långt 60-tal: En terminal för varje applikation 90-tal: Standard för nät, webb, … Återstår att implementera en standard för identitets- och behörighetshanteringen mellan organisationer!

28 Identitet och attribut ska hanteras lokalt Användare Användar- organisation IdP Användar- uppgifter Användar- uppgifter Intyg Inloggning SAML eTjänst SP Användaradministration och kontohantering sker hos användarorganisationen IdP: identity Provider SP: Service Provider

29 E-tjänst Tjänsteleverantör Användare Intyget innehållande uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut Intygs- utgivare SAML den tekniska standarden

30 Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta Distribuerat ansvar E-tjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut Attributs- register Intygs- utgivare

31 Varje användarorganisation ansvarar för sin E-legitimationslösning och användarhantering Distribuerat ansvar E-tjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut E-legitimation SITHS Sv. e-leg ”Annan” ID Attributs- register Intygs- utgivare

32 Medlems- register Federationsoperatör Behov av en federationsoperatör E-tjänst Tjänsteleverantör Användare Användarorganisation Intyg Pseudonym + Attribut Intyg Pseudonym + Attribut E-legitimation SITHS Sv. e-leg ”Annan” ID Attributs- register Intygs- utgivare

33 Förtydliganden

34 Sambi är en standard, inte en produkt eller en central meddelandeväxel Användar- organisation En gemensam standard Inte en central inloggning E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör

35 Användarorganisation Intyg Med attribut Intyg Med attribut Avtal E-tjänst Sambi Sambi ändrar inte ansvaret för åtkomstkontroll

36 Samverkan Teknisk standard Gemensam infrastruktur Attributsförvaltning Krav på säkerhet Behörighets- styrande attribut

37 Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med /13:54

38 Sambi attributsförvaltning Placerad på Inera Organisatoriskt såsom en del av Ineras Säkerhetstjänsters förvaltning Uppdraget är att förvalta för SAMBI En första version planeras av en attributlista innan årsskiftet.

39 Omfattning för Sambi attributsförvaltning Attribut för behörighetsstyrning Inte ”förbjudet” för tjänsten att hämta ytterligare attribut (applikationsdata) T.ex. efter inloggningen från annan lämplig katalog 39

40 Statusrapport för attributförvaltningen

41 Principer för Sambis attribut Det är fortsatt tjänsten som ansvarar för åtkomstkontroll, varför tjänsten är den som uttalar vilka attribut den behöver. Det är fortsatt användarorganisationens ansvar ansvarar att inte lämna ut fler attribut än nödvändigt. Långsiktigt är det bättre för alla med färre och väl definierade attribut!

42 Samverkan Teknisk standard Gemensam infrastruktur Tillit Krav på säkerhet Behörighets- styrande attribut

43 Målsättning för Sambi ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten”

44 Vad är Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors och organisationers goda avsikter, utan en välgrundad tro på att deras lösningar och arbetsformer följer fastställda principer för säkerhet.

45 Målsättning för Sambis tillit PartSka kunna känna tillit till… Tjänsteleverantör att Identiteter och Attribut i utfärdade intyg är korrekta. Användarorganisation att Tjänsteleverantör hanterar åtkomsten till tjänsten och känsliga uppgifter korrekt.

46 Tillitsnivåer, Level of Assurance (LoA) ett koncept för identiteter i federationer LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.

47

48 Krav på säkerhetsarbete Krav A.4: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: (a)En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. (b)Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. (c)Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.

49 Status för Tillitsgranskningar SökandeStatus SLL Beställningsportalen Godkänd Stockholm stadGodkänd TietoGodkänd Inera HSA Godkänd Inera SITHS Inlämnad till ELN SLL IdP Väntar på komplettering Danderyds kommunArbete pågår Lidingö stadArbete pågår Huddinge kommunVäntar på ansökan Inera säkerhetstjänsterVäntar på ansökan Inera PascalVäntar på ansökan eHMInlämnat


Ladda ner ppt "Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg."

Liknande presentationer


Google-annonser