Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008.

Slides:



Advertisements
Lignende præsentationer
Klar til håndtering af fritagelse af borgers fra Digital Post
Advertisements

DOMSTOLENE & KRIMINALITET
Diverse spørgsmål vedr. Digital Post
NemID har en offentlig digital signatur
v/ Flemming Faber Souschef, IT-Sikkerhedskontoret
Disposition Forvaltningsloven Partshøring Begrundelse i afgørelser
Hvad er korruption? En kort introduktion
Anmelderdatabasen Hvem kan få tilladelse til at tinglyse for andre?
Mindreåriges patientrettigheder
Hypotese test – kapitel 6 (Signifikans test)
Portalintegrationsprojektet Føderationstilslutning ERFA møde 9. januar 2008.
SOSI ( ServiceOrienteret SystemIntegration) Quick Tour (E.3)
Portalintegrationsprojektet Claus Andreasen PL, portalintegrationsprojektet.
Tom Bøgeskov Udviklingschef Digitaliseringsstyrelsen, Finansministeriet Digitaliseringsmessen 2012 Digitaliseringsstyrelsen - En dag med løsninger og dialog.
Hvorfor er fællesoffentligt samarbejde en god ide ? v/ Kontorchef Michael Busk-Jepsen, Økonomistyrelsen HRKS majkonference, 14. Maj 2009.
Input FMEA Output Shit in = Shit out FMEA
ESigner - Signatur på Web Bernt Bisgaard, Cryptomathic IT-erfagrupper i advokatbranchen.
Genbrug af offentlig information i Danmark ePSIplus - Danmark 27. november 2008 Specialkonsulent Frederik Siegumfeldt It-strategisk kontor IT- og Telestyrelsen.
Forandringsprocessens risici og den indre sammenhæng i processen
Digital Post til borgerne i vejen dertil
Hvordan påvirker NemKonto din hverdag…?. NemKonto, hvornår?
T- FOBS Temporær Fælles Offentlig Bruger Styring Fællesoffentlig log-in-løsning Beredskab / Incident Management.
Helle Ulrichsen Screening i et organisatorisk perspektiv Hvad er konsekvenserne af indførelse af screeningsprogrammer?
Arkitektur - Sikkerhed
Demokratisk underskud i informationssamfundet?
IT – sikkerhed Fysisk sikkerhed Logisk sikkerhed
Offentlige data i spil Konference i DGI Byen Torsdag den 4. februar 2010 Kim Lindskov Knudsen Områdechef Anvendelse & Rådgivning Kort & Matrikelstyrelsen.
Datasikkerhed og Kryptologi Ivan Damgård, Datalogisk Institut, Århus Universitet.
Netværk for fællesskabsagenter marts 2014
Kommercielle OPP’er – finansielle udfordringer? November 2012.
Portalanalyse Udfordringer ved iFrame integrationsformen i forbindelse med FOBS løsningen.
Portalintegrationsprojektet Nyt fra brugerstyring ERFA møde 6. februar 2008 Thomas Gundel.
VELTEK medlemsmøde 22. januar 2008 DS Certificering A/S VA-godkendelser – nu og i fremtiden.
11.1 Mathiassen, Munk-Madsen, Nielsen & Stage, 2000 © Processer Oversigt, principper og teknikker Kapitel 11.
Ny privatmodel - Risikoanalyse 1 Brainstorm Brainstormingen gennemføres ved at spørge: ”Hvad kan gå galt? Hvad kan gå galt.
SOSI ( ServiceOrienteret SystemIntegration) Quick Tour.
Kontor for It-infrastruktur og implementering IT og Telestyrelsen IT Arkitekt Søren Peter Nielsen - OISAML Workshop DEL 2 Århus 31. marts 2009.
SOSI ( ServiceOrienteret SystemIntegration) Quick Tour (E)
At tale om sexualitet.
ODAs Årsmøde 14. november 2014 Hvad efterspørger kommunen? - fremfinding af digitale sager i arkiveringsversioner og søgning i MiNEA Mie Andersen Emilie.
SOSI ( ServiceOrienteret SystemIntegration) Quick Tour 2.0.
1/11/2015 1:16:14 AM _Teamwork FOBS POC 2 PIP erfa møde Onsdag d. 5. marts 2008.
Stedet som indgang til digital forvaltning
Fordomme om malerfaget.
Hvad sker der når vi samskaber, eller samarbejde på tværs? Gruppedynamikkens påvirkning Manon de Jongh, 2014.
Notatpligt, vejledningspligt & Partsrepræsentation
Professor, dr. jur. Mette Hartlev
Digital Signatur Hvad er Digital Signatur?
Digital Forvaltning (44405) Introduktion til Digital Forvaltning1 Digital Forvaltning ”Bedre service..” ”Lavere omkostninger…”
SOSI Service Orienteret System Integration Ved Jan Riis
Lovgivning om håndtering af boligers indeklimaproblemer hidrørende fra jordforurening.
Mobile Løsninger i Det Offentlige Ved Kåre Kjelstrøm 12/
Fællesoffentlig brugerstyring Brugerstyringssekretariatet i Økonomistyrelsen v/ Ellen Syberg.
Arbejdsdirektoratet, Finsensvej 78, 2000 Frederiksberg Tlf: Fax: E-post: Hjemmeside: Projekt sikker Internet.
NKOR 2015 – Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel.
Fællesoffentlig brugerstyring Brugerstyringssekretariatet i Økonomistyrelsen v/ Ellen Syberg.
KØBENHAVNS KOMMUNE Kultur- og Fritidsforvaltningen KØBENHAVNS EJENDOMME Bygherreperspektiver på indkøb af ventilationsløsninger v/ Gyrithe Saltorp.
Fællesoffentlig digitaliseringsstrategi
IT-politik og sikkerhed
Tilfredshedsundersøgelse
Risikovurdering Livet Forstås Baglæns - men må leves forlæns.
BILAG 3a -Registrering -Udstedelse -Vedligeholdelse
Risikostyring.
Sikker adfærd er vigtig I det offentlige arbejder vi ofte med personoplysninger, som er følsomme eller skal behandles fortroligt Sikkerhedspakken.
Adgang til egne data IT-Arkitekturrådet d It-Arkitekturrådet
Borgerbetjening 3.0 Den fælleskommunale strategiske ramme
Præsentation af IT-sikkerhedsfunktionen
Præsentation af IT-sikkerhedsfunktionen
Præsentationens transcript:

Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008

Sagen i en nøddeskal Når en bruger tilgår en myndighedsløsning har man ofte behov for at kende brugerens identitet. Hvor sikkert identiteten skal fastslås (=autenticitetssikring) afhænger af løsningen – herunder konsekvenser ved uautoriseret adgang. Brugerens aktuelle niveau af autenticitetssikring afhænger af: –Den tekniske sikkerhed af det akkreditiv, han er logget ind med –Processen ved udstedelse af akkreditiv

AssuranceLevel i Føderationen Identity Provider Service Provider Login SAML Assertion AssuranceLevel=2 Her kræves niveau 3!

Ansvar og roller Den fællesoffentlige brugerstyring varetager login. Ikke nødvendigvis digital signatur!!! Der udstedes en SAML assertion med en AssuranceLevel attribut: –Niveau 1: Lille eller ingen tiltro til påstået identitet –Niveau 2: Nogen tiltro til påstået identitet –Niveau 3: Høj tillid til påstået identitet –Niveau 4: Meget høj tillid til påstået identitet Myndigheder skal klassificere deres løsninger til et af disse niveau’er ud fra en risikovurdering. Myndigheden skal opsætte adgangskontrol, så brugere med et for lavt niveau ikke får adgang.

Bestemmelse af niveau Konsekvenserne vurderes ud fra kategorierne: –Ulempe, kval eller tab af anseelse –Økonomisk tab eller ansvarspådragelse –Skade på myndighedsaktiviteter eller andre offentlige interesser –Ikke-autoriseret frigivelse af sensitiv information –Fysisk personskade –Mulighed for at begå/modvirke opklaring af ulovligheder Den mulige risiko bestemmes som en kombination af: –Sandsynligheden for at hændelsen indtræffer –Konsekvensens størrelse Risikoen beskrives som ingen, lille, moderat eller stor.

Ikke-autoriseret frigivelse af sensitiv inf. Lille –Resulterer højest i en begrænset frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i lille omfang Moderat –Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i moderat omfang. Stor –Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i stort omfang.

Risikotabel Risiko i forhold til niveau af autenticitetssikring Niveau af autenticitetssikring Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser -LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder -LilleModeratStor

Eksempel (Credits SPN) Myndighed lancerer en selvbetjeningsløsning To transaktionstyper / grænseflader: –Borger ansøger –Sagsbehandler behandler

Kategorier af konsekvenser Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Risiko Borger ansøger Risiko Sagbehandler behandler Ulempe, kval, eller tab af anseelse Økonomisk tab eller ansvarspådragelse Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information Fysisk personskade Mulighed for at begå/modvirke opklaring af ulovligheder.. etc

Riskoen for økonomisk tab Lad os antage at risikoen for økonomisk tab etc. vurderes moderat i begge tilfælde: Borger ansøger Sagbehandler behandler

Ikke-autoriseret frigivelse af sensitiv inf. Lad os antage at risikoen for ikke-autoriseret frigivelse af sensitiv information vurderes således: Borger ansøger: MODERAT da mængden af sensitiv information, der kan frigives, er begrænset. Sagbehandler behandler: STOR da sagsbehandleren har adgang til store mængder sensitiv information.

Dette giver flg.: Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Risiko Borger ansøger Risiko Sagbehandler behandler Ulempe, kval, eller tab af anseelse Økonomisk tab eller ansvarspådragelse Moderat Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information ModeratStor Fysisk personskade Mulighed for at begå/modvirke opklaring af ulovligheder.. etc

Niveau for borger ansøger Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval, eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser-LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder-LilleModeratStor

Niveau for sagsbehandler Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval, eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser-LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder-LilleModeratStor

Spørgsmål

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.