Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008.

Lignende præsentationer


Præsentationer af emnet: "Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008."— Præsentationens transcript:

1 Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008

2 Sagen i en nøddeskal Når en bruger tilgår en myndighedsløsning har man ofte behov for at kende brugerens identitet. Hvor sikkert identiteten skal fastslås (=autenticitetssikring) afhænger af løsningen – herunder konsekvenser ved uautoriseret adgang. Brugerens aktuelle niveau af autenticitetssikring afhænger af: –Den tekniske sikkerhed af det akkreditiv, han er logget ind med –Processen ved udstedelse af akkreditiv

3 AssuranceLevel i Føderationen Identity Provider Service Provider Login SAML Assertion AssuranceLevel=2 Her kræves niveau 3!

4 Ansvar og roller Den fællesoffentlige brugerstyring varetager login. Ikke nødvendigvis digital signatur!!! Der udstedes en SAML assertion med en AssuranceLevel attribut: –Niveau 1: Lille eller ingen tiltro til påstået identitet –Niveau 2: Nogen tiltro til påstået identitet –Niveau 3: Høj tillid til påstået identitet –Niveau 4: Meget høj tillid til påstået identitet Myndigheder skal klassificere deres løsninger til et af disse niveau’er ud fra en risikovurdering. Myndigheden skal opsætte adgangskontrol, så brugere med et for lavt niveau ikke får adgang.

5 Bestemmelse af niveau Konsekvenserne vurderes ud fra kategorierne: –Ulempe, kval eller tab af anseelse –Økonomisk tab eller ansvarspådragelse –Skade på myndighedsaktiviteter eller andre offentlige interesser –Ikke-autoriseret frigivelse af sensitiv information –Fysisk personskade –Mulighed for at begå/modvirke opklaring af ulovligheder Den mulige risiko bestemmes som en kombination af: –Sandsynligheden for at hændelsen indtræffer –Konsekvensens størrelse Risikoen beskrives som ingen, lille, moderat eller stor.

6 Ikke-autoriseret frigivelse af sensitiv inf. Lille –Resulterer højest i en begrænset frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i lille omfang Moderat –Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i moderat omfang. Stor –Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i stort omfang.

7 Risikotabel Risiko i forhold til niveau af autenticitetssikring Niveau af autenticitetssikring Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser -LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder -LilleModeratStor

8 Eksempel (Credits SPN) Myndighed lancerer en selvbetjeningsløsning To transaktionstyper / grænseflader: –Borger ansøger –Sagsbehandler behandler

9 Kategorier af konsekvenser Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Risiko Borger ansøger Risiko Sagbehandler behandler Ulempe, kval, eller tab af anseelse Økonomisk tab eller ansvarspådragelse Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information Fysisk personskade Mulighed for at begå/modvirke opklaring af ulovligheder.. etc

10 Riskoen for økonomisk tab Lad os antage at risikoen for økonomisk tab etc. vurderes moderat i begge tilfælde: Borger ansøger Sagbehandler behandler

11 Ikke-autoriseret frigivelse af sensitiv inf. Lad os antage at risikoen for ikke-autoriseret frigivelse af sensitiv information vurderes således: Borger ansøger: MODERAT da mængden af sensitiv information, der kan frigives, er begrænset. Sagbehandler behandler: STOR da sagsbehandleren har adgang til store mængder sensitiv information.

12 Dette giver flg.: Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Risiko Borger ansøger Risiko Sagbehandler behandler Ulempe, kval, eller tab af anseelse Økonomisk tab eller ansvarspådragelse Moderat Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information ModeratStor Fysisk personskade Mulighed for at begå/modvirke opklaring af ulovligheder.. etc

13 Niveau for borger ansøger Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval, eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser-LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder-LilleModeratStor

14 Niveau for sagsbehandler Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring 1234 Ulempe, kval, eller tab af anseelseLilleModerat Stor Økonomisk tab eller ansvarspådragelseLilleModerat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser-LilleModeratStor Ikke-autoriseret frigivelse af sensitiv information-LilleModeratStor Fysisk personskade--LilleModerat Stor Mulighed for at begå/modvirke opklaring af ulovligheder-LilleModeratStor

15 Spørgsmål


Download ppt "Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008."

Lignende præsentationer


Annoncer fra Google