1 / 15

Niveau af Autenticitetssikring

Niveau af Autenticitetssikring. PIP ERFA møde 4. juni 2008. Sagen i en nøddeskal. Når en bruger tilgår en myndighedsløsning har man ofte behov for at kende brugerens identitet.

yule
Download Presentation

Niveau af Autenticitetssikring

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Niveau af Autenticitetssikring PIP ERFA møde 4. juni 2008

  2. Sagen i en nøddeskal • Når en bruger tilgår en myndighedsløsning har man ofte behov for at kende brugerens identitet. • Hvor sikkert identiteten skal fastslås (=autenticitetssikring) afhænger af løsningen – herunder konsekvenser ved uautoriseret adgang. • Brugerens aktuelle niveau af autenticitetssikring afhænger af: • Den tekniske sikkerhed af det akkreditiv, han er logget ind med • Processen ved udstedelse af akkreditiv

  3. AssuranceLevel i Føderationen Login Identity Provider SAML Assertion AssuranceLevel=2 Her kræves niveau 3! Service Provider

  4. Ansvar og roller • Den fællesoffentlige brugerstyring varetager login. • Ikke nødvendigvis digital signatur!!! • Der udstedes en SAML assertion med en AssuranceLevel attribut: • Niveau 1: Lille eller ingen tiltro til påstået identitet • Niveau 2: Nogen tiltro til påstået identitet • Niveau 3: Høj tillid til påstået identitet • Niveau 4: Meget høj tillid til påstået identitet • Myndigheder skal klassificere deres løsninger til et af disse niveau’er ud fra en risikovurdering. • Myndigheden skal opsætte adgangskontrol, så brugere med et for lavt niveau ikke får adgang.

  5. Bestemmelse af niveau • Konsekvenserne vurderes ud fra kategorierne: • Ulempe, kval eller tab af anseelse • Økonomisk tab eller ansvarspådragelse • Skade på myndighedsaktiviteter eller andre offentlige interesser • Ikke-autoriseret frigivelse af sensitiv information • Fysisk personskade • Mulighed for at begå/modvirke opklaring af ulovligheder • Den mulige risiko bestemmes som en kombination af: • Sandsynligheden for at hændelsen indtræffer • Konsekvensens størrelse • Risikoen beskrives som ingen, lille, moderat eller stor.

  6. Ikke-autoriseret frigivelse af sensitiv inf. • Lille • Resulterer højest i en begrænset frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i lille omfang • Moderat • Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i moderat omfang. • Stor • Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i stort omfang.

  7. Risikotabel

  8. Eksempel (Credits SPN) • Myndighed lancerer en selvbetjeningsløsning • To transaktionstyper / grænseflader: • Borger ansøger • Sagsbehandler behandler

  9. Kategorier af konsekvenser .. etc

  10. Riskoen for økonomisk tab • Lad os antage at risikoen for økonomisk tab etc. vurderes moderat i begge tilfælde: • Borger ansøger • Sagbehandler behandler

  11. Ikke-autoriseret frigivelse af sensitiv inf. • Lad os antage at risikoen for ikke-autoriseret frigivelse af sensitiv information vurderes således: • Borger ansøger: MODERAT da mængden af sensitiv information, der kan frigives, er begrænset. • Sagbehandler behandler: STOR da sagsbehandleren har adgang til store mængder sensitiv information.

  12. Dette giver flg.: .. etc

  13. Niveau for borger ansøger

  14. Niveau for sagsbehandler

  15. Spørgsmål

More Related