SWAMID Identity Assurance Level 1 Profile Granskningsprocess
Allmän information Kraven för granskningsprocessen definieras i avsnitt 3 (Compliance and Audit) i SWAMID AL1 Årlig bekräftelse att lärosätet uppfyller Ska genomföras av annan personal vid lärosätet än de som jobbar med den operativa driften –Internrevision –IT/Informationssäkerhetsfunktion Saknas lämplig personal samverka med andra lärosäten
Viktiga dokument Ett normativt dokument –SWAMID Identity Assurance Level 1 Profile (SWAMID AL1) Rapportera granskningsresultat –Checklista för AL1 Stöddokument finns i SWAMIDs Wiki –FAQ AL1 –Exempelmallar
Arbetsgång Läs igenom kraven –Tillfälliga undantag från kraven i SWAMID AL1 3.1: IMPS behöver först till hösten 2015 kompletteras med hur alla krav uppfylls, nu endast användarkontons livscykel : Den legala analysen behöver inte vara klar. Komplettera med FAQ Säkerställ att infrastrukturen uppfyller kraven Komplettera vid behov Identity Manage Practice Statement (IMPS) Fyll därefter i checklista
FAQ Fråga: Ska dokumentation såsom beskrivet i IdM-checklistan bifogas till checklistan för SWAMID AL1? Svar: IdM-checklistan ersätts till stor del av AL1- profilen. Checklistan är endast ett stöd för att ni ska kunna få en så säker miljö som möjligt.
FAQ 3.4 The member organisation MUST retain records (sv. diarieföras) of all audits … Fråga: Måste granskningsresultatet vara publikt? Svar: Granskningarna, eller revisionerna, ska i normalfallet inte publiceras på publika webbsidor utan endast diarieföras. Om organisationen anser att innehållet är känsligt kan handlingen markeras så att särskild utlämningsprövning görs när den efterfrågas, dvs. sekretessbeläggas
FAQ All Subjects MUST indicate acceptance of the Acceptable Use Policy before use of the Identity Provider. Fråga: Om man i anställningsavtal binder den anställde vid alla organisationens policys och riktlinjer räcker då detta? Svar: Det är möjligt att reglera detta genom anställningsavtalet men det finns nackdelar med det enligt svar på nästa fråga.
FAQ All Subjects MUST indicate renewed acceptance of the Acceptable Use Policy if the Acceptable Use Policy is modified. Fråga: se 4.2.2, förra bilden. Svar: Eftersom det krävs ett explicit godkännande av uppdaterade användarregler bör uppdatering av användareglerna hanteras på något annat sätt än genom anställningsavtalet.
FAQ All network communication between systems related to Identity or Credential management MUST be encrypted. Fråga: Gäller detta även internt i en egen datorhall? Svar: Självklart! Får man ett intrång på sitt eget nätverk så skyddar inte datorhallens skalskydd.
FAQ Subjects MUST be actively discouraged from sharing credentials with other subjects … Fråga: Vad krävs för att lärosätet aktivt ska avråda användarna från att dela med sig av inloggningsuppgifter till andra? Svar: Står det i AUP och användarna har godkänt denna räknas det som aktivt. Inför organisationen dessutom att användarna med jämna mellanrum måste godkänna reglerna på nytt blir det ännu mer aktivt.
FAQ It MUST NOT be possible to assign a credential to an identity that has not passed a minimum of Assurance Level 1 verification. Fråga: Vad menas med det här? Svar: Det betyder att den webbtjänst som används för kontoaktivering eller lösenords- ändring/-återställning inte får anslutas till det bakomliggande kontohanteringssystemet, t.ex. AD, utan egen inloggning. Exempel: Webbsidan för kontoaktivering har en AD-användare som denna använder för att skapa AD-kontot för den nya användaren.
FAQ All network communication between systems related to Identity or Credential management MUST be secured and encrypted. Fråga: Vad menas med detta? Svar: Använd alltid TLS/SSL för att etablera en krypterad förbindelse mellan olika system som används för återkallande av lösenord eller spärrande av konto. Exempel: Använd en säker webbtjänst för servicedesk som kommunicerar krypterat med bakomliggande kontohanteringssystem, t.ex. AD, för spärrande av konto.
FAQ The Identity Provider MUST use an authentication protocol that requires the claimant to prove possession and control of the authentication token. Fråga: Vad menas med detta? Svar: För lösenord innebär detta att användaren måste visa att han eller hon kan sitt gamla lösenord innan han eller hon får sätta ett nytt.
Till sist… Frågor? –Fråga oss nu… –Skicka epost till SWAMID Operations eller –ring någon i SWAMID Operations och fråga!
Workshop november i Stockholm Kom gärna med förslag och idéer på frågor att diskutera dag 2. Vad händer mer under hösten?
Ytterligare två Webinar i höst med fokus på SWAMID AL1 Webinar november Webinar december Vad händer mer under hösten?