Informationsdag kring Svensk e-legitimation

Slides:



Advertisements
Liknande presentationer
Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.
Advertisements

Vad är eHälsa? Nationell strategi för tillgänglig och säker information inom vård och omsorg sedan Sedan 2010 är socialtjänsten med fullt ut. Vision:
Staffan Hagnell,.SE Samverkan med Svensk e-legitimation i andra federativa initiativ.
Agenda förmiddag Presentation av närvarande samt våra roller
E-legitimationsdagen Avtalsfrågor inom infrastrukturen för Svensk e-legitimation Erik Sandström T:   M:  E:
Krav som ställs på medlemmarna Erfarenheter från pågående arbeten
Projekt Infrastruktur 2.0
Användarupplevelsen och nyttan med e-legitimationen
Avtalet mellan staten och SKL 2013 • Båda spänner över socialtjänstens olika verksamhetsområden • Inom båda områdena är hanteringen av standardiserad och.
Anvisningstjänstens roll inom infrastrukturen för Svensk e-legitimation Martin Lindström
Samordnare Digital agenda Västra Götalands län
Sömlösa övergångar Per Granstrand, Verksamhetsarkitekt - Bolagsverket
AU Digital samverkan LO Process
Svenskt Lantmäteri en viktig grund för det goda samhällsbygget
Nyttobeskrivning för pågående gemensamma IT-insatser i VG
Privata och publika moln Kund X Anders Brännfors
Nationell strategi för eHälsa och Socialstyrelsens roll
Staffan Hagnell Forsknings och utvecklingschef, .SE Skolfederationen
Regionalt samarbete Tillit
Välkomna till en dag om eArkiv
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
Uppstartsmöte Testbädd eID 2.0
Ann Söderström, Hälso- och sjukvårdsdirektör
Säkerhetskrav vid informationsutbyte med aktörer inom vård och omsorg
Studentinformation i SWAMID
Att komma igång Checklistor och tips.
PEPPOL – en infrastruktur för effektivare e-kommunikation.
Välkommen till Dataföreningens möte om ”e-leg” 12 april 2012, kl
Implementering av Nationell strategi för eHälsa och eSamhället
Lunds universitet / Samordnat IT-stöd vid LU / Oktober 2009 NETinfo Samordnat IT-stöd vid LU Johnny Nilsson, PL Birgitta Lastow, bitr. PL Anders.
IT utvecklar sociala tjänster! 1 KommITS 9 november 2011, Göteborg Åke Svenson, utredare, f d socialdirektör Järfälla,
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Samverkan kring öppna data © KSL 2014 Text & form: gdz / mhe.
EIDAS Electronic Identification and Signature (Electronic TrustServices) Manne Andersson, eHälsomyndigheten Martin Völcker, Ekonomistyrningsverket.
Om denna presentation: Version Denna PPT-presentation tillsammans med det talspråksmanus du hittar i anteckningssidorna är framtaget för att.
Om HSA och HSA-ansvarigs roll
Digidelnätverket är ett icke-hierarkiskt, obundet och demokratiskt nätverk som arbetar för ökad digital delaktighet i Sverige. Nätverket bildades efter.
Ehälsomyndigheten Förstudie: VARA med eIDAS
Ämne: diskussion om e-hälsoprioriteringar på chefsnätverket 21 augusti.
Frågor och svar Svensk e-legitimation VästKom
Nationell Elektronisk remiss Erica Määttä Lindblad 6 april 2016.
Välkomna till Introduktionskurs till Sambi
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Sambi, Stockholm Läns Landsting, Stockholm stad och Kommunförbundet Stockholms Län Urban Jarl SLL, HSF, e-Hälsa och strategisk IT.
Rickard Broddvall, eHälsomyndigheten Tove Gemzell, Inspektionen för vård och omsorg Verksamhets- och utförardomän – ett samordningsarbete.
Tre alternativa patientöversikter för ökad valfrihet. Inera berättar tillsammans med Tieto och Cambio. Andreas Mårtensson - Inera Jon Durefelt - Tieto.
Inloggning för mobila tillämpningar Jörgen Hellgren.
Svensk e-legitimation - Vägen framåt mot en gemensam lösning Eva Ekenberg, kanslichef Inger Greve, kommunikationsansvarig Offentliga rummet 27 maj 2016.
Informationsmöte kring E- legitimationsnämndens arbete mot morgondagens digitala behov.
Ny e-hälsovision, vad händer nu? Patrik Sundström, programansvarig e-hälsa SKL Jean-Luc af Geijerstam, utredare eHälsomyndigheten Sofie Zetterström, vice.
Introduktion till SAML federation Varför använda SAML federation för elektronisk legitimering och underskrift Stefan Santesson Martin Lindström.
Gemensamma grunder för samverkan och ledning vid samhällsstörningar #grundSoL Introduktion till gemensamma grunder för samverkan.
SKL Kommentus Inköpscentral Ramavtalet ”Datakommunikation 2014” i korthet
Stöd till framtidens informationsmiljö Sara Meunier, Chefsarkitekt, Inera Fredrik Frimodig, CIO, eHälsomyndigheten Fredrik Frimodig, eHälsomyndigheten5.
Intern styrning och kontroll Förordning (2007:603) om intern styrning och kontroll Med intern styrning och kontroll avses den process som syftar till att.
Välkommen!. Välkommen! Fortsatt utveckling av e-tjänsten Stöd och behandling Anette Cederberg Programansvarig SKL Rebecca Anserud (H)järn kolls ambassadör.
Vad är informationssäkerhet?
Vägledning 5 steg för att följa Dataskyddsförordningen
Välkommen!. Välkommen! Erika Ericsson, eHälsomyndigheten 25 april kl Nuläget för arbetet med gemensamma standarder – eHälsomyndighetens uppdrag.
eHälsomyndigheten om planerna för Säker Åtkomst och Sambi
SLL om tjänster för det kommunala området
Vad erbjuder Inera Huddinge Vad erbjuder Inera Huddinge
Vad är en identitetsfederation?
Arbetsgrupper och VIP Februari 2018.
Omställningen av hälso- och sjukvården
Dataskyddsförordn ing GDPR- ny lag som gäller
PoC Mobilt Efos
I offentlighetens tjänst
En tjänst för ökad tillgänglighet
E-identitet för offentlig sektor, Efos
Presentationens avskrift:

Informationsdag kring Svensk e-legitimation 21 oktober 2015, Göteborg

Internetstiftelsen i Sverige

.se .nu Internetguider Internetdagarna Webbstjärnan Bredbandskollen Internetmuseum Internetfonden Internetstatistik Barnhack Digital delaktighet Hälsoläget Kursportal Teknik

IIS är federationsoperatör Skolfederation Sambi eduroam

Vad är en identitetsfederation? En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter och behörighetsstyrande attribut för att underlätta användarnas åtkomst till elektroniska tjänster och skydda den personliga integriteten. Max: Sambi är en federativ infrastrukturlösning för hela hälso-, vård- och omsorgssektorn, det vill säga en sammanhållen teknisk infrastruktur där hanteringen av identiteter och åtkomsträttigheter knyts samman med ett obegränsat antal e-tjänster.

Sambi - SAMverkan för Behörighet och Identitet inom hälsa, vård och omsorg Visionen - att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela den svenska vård- och omsorgssektorn. Användarorganisationer och e-tjänster ska sammanlänkas i en nationell lösning som bygger på tillit till användarnas inloggningsuppgifter och skydd för den personliga integriteten.

Uppgifter för en Federationsoperatör Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information

Sambi Medlemshantering Metadatahantering Drift av infrastrukturen Attributförvaltning Tilliten till identiteter och attribut Sambi har identifierat sex olika processer för sin verksamhet och förvaltning. Medlemshantering: Denna process hanterar support, intresseanmälningar och medlemsansökan. Metadatahantering: Uppdatering och kvalitetskontroll av metadata. Tillit: Självdeklarationer, initial och fortlöpande granskning av tillit hos medlemmar. Information: Hantering av kommunikation, information och evenemang. Drift av infrastruktur: Attributförvaltning: kartlägga och informera om användning av attribut inom Sambi, samt standardisering av gemensamma attribut. Attributförvaltning Information

Sambis styrgrupp Från vänster: Åke Johansson, eHälsomyndigheten Carina Landberg, IT-forum Stockholms län, Sara Meunier, SKL Peter Alvinsson, Inera Danny Aerts, .SE (styrgruppens ordförande)

Sambis arbetsgrupp

Historia 2007 Swamid - Den tekniska förebilden 2011 SIS/TK450 - Skolfederation 2012 De 16 principerna för samverkan IT-forum, Kommunförbundet Stockholms län, KSL 2012 Förstudie Sambi, för sektorn vård, omsorg och e-hälsa Ett samarbete mellan eHälsomyndigheten, Inera och IIS Skolfederation är resultatet av ett större projekt som drivs av SIS (Swedish Standards Institute) med syftet att göra det lättare för skolan att använda digitala tjänster och digitalt innehåll med hjälp av gemensamma standarder. Leverantörernas många olika IT-lösningar för läromedel har sammantaget med kommunernas olika lärplattformar försvårat användningen av digitala resurser eftersom det uppstår stor komplexitet, många integrationer och osäkerhet kring hur de ska fungera i skolans plattformar. Tröskeln blir lätt för hög för båda parter. Gemensamma, öppna standarder SIS-projektet strävar inte efter att skapa några nya standarder, eftersom det redan finns lämpliga sådana. I stället är målet att skapa gemensamma riktlinjer, vägledning och praxis för hur de ska tillämpas, samt sprida kunskapen och medvetandet om hur de ska användas. Om leverantörer och kommuner inte behöver skapa egna lösningar för integrationen av innehåll, utan kan arbeta med lösningar baserade på gemensamma och öppna standarder, förbättras förutsättningarna för skolans användning av digitala resurser. SIS-projektet sätter upp ett antal effektmål: Att användningen av digitala lärresurser ökar i skolarbetet. Att en ökad användning av digitala resurser ska ge eleverna möjligheter att förbättra sina resultat. Att såväl kommunala skolor som friskolor använder framtagna riktlinjer vid beställning av digitala resurser. Att leverantörer använder riktlinjerna vid produktionen av digitala lärresurser och tjänster. Att nya leverantörer etablerar sig och marknaden expanderar, såväl inom som utanför Sverige. 2007 Swamid, VLM, Forsknings- och utvecklingsinstitutet för Virtuella lärmiljöer 2011 SIS/TK450 It standarder för lärande, varav identifiering är en del. 2012 Skolfederation Etablera tjänsten, Arbetsgrupp, Referensgrupp, Workshop, Seminarium Test av skolplattformar vt2012, Cybercom, Technology Nexus, Tieto, Svensk E-identitet, Ubisecure, Open source, några tjänsteleverantörer Skolfederation 2013

Swamid, Bildades 2007 Idag 54 anslutna organisationer, universitet, högskolor, m.fl.

Skolfederation - Medlemsutveckling 132 Totalt 94 Skol- huvudmän 38 Tjänstelev.

38 st tjänsteleverantörer är medlemmar Skolfederation

Förstudierapport Sambi från 2012 Målgrupper Kommuner Landsting Privata vårdgivare Myndigheter Apoteksaktörer Tandläkare Regionförbund Privata omsorgsgivare Veterinärer Invånare Informations- infrastruktur . . .

De 16 principerna för samverkan Informationssäkerhet 1. att ha en antagen informationssäkerhetspolicy, eller motsvarande, med tillhörande styrande dokument 2. att ha minst en utsedd person som leder och samordnar informationssäkerhetsarbetet 3. att tillämpa en likvärdig metod och jämförbara nivåer för informationsklassning 4. att utifrån återkommande riskanalyser och inträffade incidenter vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer Tillit 5. att tillämpa gemensamma tillitsramverk för att skapa tillit över huvudmannagränser 6. att koppla informationstillgångar till relevanta tillitsnivåer Federering 7. att ha förmågan att utfärda och/eller konsumera elektroniska identitets- och behörighetsintyg 8. att säkerställa att alla delar i det elektroniska identitets- och behörighetsintyget följer aktuella tillitsramverk 9. att kravställa federativ förmåga i varje tjänst 10. att tillämpa gemensamma respektive sektorsrelaterade attribut som används i samverkan Signering 11. att medverka till teknik- och leverantörsneutrala lösningar för elektroniska underskrifter Grundläggande infrastruktur 12. att tillse att all gränsöverskridande kommunikation kan ske över internet 13. att verka för att kommunikation över öppen infrastruktur signeras och krypteras 14. att säkerställa robusthet i för samverkan vitala infrastrukturkomponenter 15. att den egna källan för tid är spårbar till den svenska nationella tidsskalan 16. att kravställning bör bygga på nationellt framtagna informationsstrukturer Ett viktigt dokument. Då det skrevs under av kommunledningarna i Stockholms län.

Tänkbara medlemmar? 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1 284 apoteksaktörer 1 933 tandläkarmottagningar 15 000 privata vård- och omsorgsgivare 1000-tals offentliga vård- och omsorgsgivare 1 185 företag med veterinärverksamhet Leverantörer, färdtjänst, varor, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn

Samverkan Samverkan utgående från vilken kultur och tradition? Landsting, kommunal, apoteksaktörer, … Internet och akademiska federationer Offentlig och privata aktörer Regionala samarbeten Nationella initiativ som Svensk e-legitimation EU, Electronic identification and trust services (eIDAS) …

Tillvägagångssätt Var smal och grund! Fokusera samarbetet på identiteter och attribut för SSO

Behörighets- styrande attribut Sambi Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

Mål för Sambi Sektorn Användarorganisation Tjänsteleverantör Användare Ökad säkerhet Stimulera utveckling Användarorganisation Valfrihet, att välja sin egen lösning Enklare tjänsteintegration Enhetlig administration av användare Tjänsteleverantör Slippa administration av användare Enklare integration av kunderna Användare SSO, En inloggning till alla tjänster

Kostsamt med olika integrationer Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

En standard för integrationen Federation Gemensam Standard Regler En minimal infrastruktur Tjänsteleverantör Användar- organisation E-tjänst Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

Standardiserad infrastruktur Vi har kommit långt 60-tal: En terminal för varje applikation 90-tal: Standard för nät, webb, … Återstår att implementera en standard för identitets- och behörighetshanteringen mellan organisationer!

Identitet och attribut ska hanteras lokalt Användar-organisation IdP SAML Användare Intyg eTjänst SP Inloggning Användar- uppgifter Användaradministration och kontohantering sker hos användarorganisationen IdP: identity Provider SP: Service Provider

SAML 2.0 - den tekniska standarden Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Intyget innehållande uppgifter för att E-tjänsten ska kunna fatta beslut om åtkomst

Distribuerat ansvar Användarorganisation Tjänsteleverantör Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst Användare Attributs-register Varje Användarorganisation ansvarar för att dess kataloguppgifter är korrekta

Distribuerat ansvar Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Varje användarorganisation ansvarar för sin E-legitimationslösning och användarhantering

Behov av en federationsoperatör Användarorganisation Tjänsteleverantör E-legitimation Intygs-utgivare Intyg Pseudonym + Attribut E-tjänst SITHS Sv. e-leg ”Annan” ID Användare Attributs-register Medlems- register Federationsoperatör

Förtydliganden

Sambi är en standard, inte en produkt eller en central meddelandeväxel Tjänsteleverantör Användar- organisation E-tjänst En gemensam standard Inte en central inloggning Tjänsteleverantör E-tjänst Tjänsteleverantör E-tjänst

Sambi ändrar inte ansvaret för åtkomstkontroll Användarorganisation Tjänsteleverantör E-tjänst Avtal Intyg Med attribut Sambi

Attributsförvaltning Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

Information i intyget (förenklat) Name ID Ex. transient / persistent ID (pseudonym) Iuerfn#y873yniuw%eyr847 Användarens attribut Namn: Kalle Karlsson E-post: kalle.karlsson@ronneby.se Organisation: Ronneby Vårdcentral Roll: Läkare Livslängd Giltig till och med 2015-08-27/13:54

Sambi attributsförvaltning Placerad på Inera Organisatoriskt såsom en del av Ineras Säkerhetstjänsters förvaltning Uppdraget är att förvalta för SAMBI En första version planeras av en attributlista innan årsskiftet.

Omfattning för Sambi attributsförvaltning Attribut för behörighetsstyrning Inte ”förbjudet” för tjänsten att hämta ytterligare attribut (applikationsdata) T.ex. efter inloggningen från annan lämplig katalog Om vi kan enas om attributen så möjliggörs det för eTjänsterna att välja mellan flera IdP:er

Statusrapport för attributförvaltningen

Principer för Sambis attribut Det är fortsatt tjänsten som ansvarar för åtkomstkontroll, varför tjänsten är den som uttalar vilka attribut den behöver. Det är fortsatt användarorganisationens ansvar ansvarar att inte lämna ut fler attribut än nödvändigt. Långsiktigt är det bättre för alla med färre och väl definierade attribut!

Behörighets- styrande attribut Tillit Samverkan Teknisk standard Krav på säkerhet Behörighets- styrande attribut Gemensam infrastruktur

Målsättning för Sambi ”Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom … en lösning som bygger på tillit och skydd för den personliga integriteten” Lennart:

Vad är Tillit? Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors och organisationers goda avsikter, utan en välgrundad tro på att deras lösningar och arbetsformer följer fastställda principer för säkerhet.

Målsättning för Sambis tillit Part Ska kunna känna tillit till… Tjänsteleverantör att Identiteter och Attribut i utfärdade intyg är korrekta. Användarorganisation att Tjänsteleverantör hanterar åtkomsten till tjänsten och känsliga uppgifter korrekt.

Tillitsnivåer, Level of Assurance (LoA) ett koncept för identiteter i federationer LoA 1 Ingen eller liten tillit till identiteten Typ Facebook, Google, Hotmail LoA 2 Begränsad tillit till identiteten AD-identitet, företagsinternt, domänspecifikt LoA 3 Hög tillit till identiteten Svensk e-legitimation, SITHS, Pass, körkort LoA 4 Mycket hög tillit till identiteten OBS! Klassningen gäller endast för identiteter, inte för de behörighetsstyrande attributen.

Krav på säkerhetsarbete Krav A.4: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av: En riskanalys avseende tjänsten och dess Funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören. Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC 27001 eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess Funktioner. Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.

Status för Tillitsgranskningar 2015-10-19 Sökande Status SLL Beställningsportalen  Godkänd Stockholm  stad Tieto Inera HSA  Inera SITHS   Inlämnad till ELN SLL IdP  Väntar på komplettering Danderyds kommun Arbete pågår Lidingö stad Huddinge kommun Väntar på ansökan Inera säkerhetstjänster Inera Pascal eHM Inlämnat