NemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig

Relaterede dokumenter
De fællesoffentlige komponenter: Federativa identitetslösningar, Erfarenheter från Danmark

Guide til integration med NemLog-in / Signering

Drift- og supportpolitik

Guide til integration med NemLog-in / Web SSO

Guide til integration med NemLog-in / Brugeradministration

9.2.b. Videreudvikling af NemLog-in

Guide til NemLog-in Security Token Service

Velkommen til Virk.dk

End-to-end scenarier for fuldmagtsløsningen

Vilkår for It-systemudbyderes tilslutning til og anvendelse af NemLog-in. Digitaliseringsstyrelsen 2013

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Fra NemID til MitID og NemLog-in3. Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede

Brokere i Identitetsinfrastrukturen

Nyt om de kommende infrastrukturløsninger: MitID, NemLog-in og Næste generation Digital Post

Beredskabspolitik. For anvendelse af NemLog-in. 18. maj Version 2.0

OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Sårjournalen kort orientering

Fællesoffentlige komponenter

Oplæg til dialogmøde d. 21. oktober 2015 Henrik Pedersen,

Sårjournal. Fødereret sikkerhedsløsning Møde i koordinationsgruppen for MedCom 10

Velkomst og dagens formål Stine Hegelund, kontorchef, Digitaliseringsstyrelsen, præsenterede dagens program.

Timeout-politik for den fællesoffentlige føderation

Udvidet brug af personligt NemID i erhvervssammenhæng

Sikker udstilling af data

Elektronisk samhandling i dansk offentlig sektor

Guide til kravspecifikation

Integration SF1920 NemLogin / Digital fuldmagt Integrationsbeskrivelse - version 1.0.0

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Interessentforum for næste generation NemID

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur

Certifikatpolitik for NemLog-in

Digitaliseringsstyrelsen

Interessentforum for næste generation NemID. Møde den 21. marts 2018

Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Bølge 3 på Virk.dk. Netværksmøde om bølge og 22. maj 2014

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Agenda. kommer leverandørerne med? v/ Martin (DIGST) / Strålfors (DIGST) synkroniserings-api v/ Michael Rüdiger (e-boks)

Tilslutning af ny myndighed til NemLog-in

Den fællesoffentlige digitaliseringsstrategi Oplæg Ved Charlotte Münter, Direktør, Digitaliseringsstyrelsen

Resultatkontrakt for Digitaliseringsstyrelsen. Januar 2013

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Oversigt over kriterier for klarmelding af bølge 2-løsninger i 2013

Bilag 1: Teknisk dialogmøde for udformningen af Digital Post

ELEKTRONISK INDBERETNING BØRNEDATABASEN VIA DGWS 13/ VERSION 1.02

NemID privat til erhverv

Forslag vedrørende NemID til Finansministeriets område fra Regeringens Virksomhedsforum for Enklere Regler

Overblik over egne sager og ydelser

Byg og Miljø: En webbaseret selvbetjeningsløsning til borgere og virksomheder vedr. ansøgninger om bygge- og miljøtilladelser

Valg af webservice standard

Vil du anmode om en digital fuldmagt fra en borger?

- for forretningens skyld

FULD DIGITAL KOMMUNIKATION I 2015

Tilslutning af ny it-leverandør til NemLog-in

Officielt navn: Økonomistyrelsen Adresse: Landgreven 4, Postbox 2193 By: København K Postnummer: 1017

Introduktion til UNI-Login for udbydere

Fællesoffentlig strategi for brugerstyring. April 2017

Kravspecification IdP løsning

Introduktion til NemID og Tjenesteudbyderpakken

Workshop om næste generation NemID

Folkekirkens It s arkitekturprincipper

Sådan fungerer Danmarks Miljøportal. en pixibog om infrastrukturen bag Danmarks Miljøportal

Virksomheden har og anvender deres gamle digital signatur, som endnu ikke er udløbet.

Interessentforum for næste generation NemID. Møde den 2. maj 2019

SIKKERHEDSPROJEKT PÅ TVÆRS AF BPI

Bilag 1 - Fælles arkitekturramme for GD1-GD2-GD7. Forslag til fælles sikkerhedsmodel for Grunddataprogrammet

Kommunernes it-arkitekturråd

Dokumentboks og NemSMS

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform

Serviceplatformen informationsmateriale. Leverandørmøde 7. februar 2013

LAKESIDE. Sårjournalen. Ændring af sikkerhedsarkitekturen. Version marts 2015

Informationsmøde om NemLog-in3 udvikling og forvaltningsudbud

Fremtidens infrastruktur for digitale identiteter i Danmark

Agenda. overblik. trafikområdet. 1) Selvbetjeningsløsninger hvad og hvorfor? 2) Bølge 3 aktiviteter og vejsektoren - overblik

AuthorizationCodeService

INFOMØDE OM DIGITAL POST FOR IT- UNDERVISERE

Sitecore Seminar København onsdag 6. februar 2008 DET DIGITALE DANMARK - BORGERPORTAL 2.0

F remtidens Digital Post

Bilag 2: Løsningsbeskrivelse. Opgaven vil bestå af at varetage drift af den samlede NemLog-in-løsning.

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Tilføjelse af administrator for myndighed

Hurtig og sikker adgang til sundhedsfaglige data. Esben Dalsgaard, chef it-arkitekt, Digital Sundhed

KOMBIT Byg og Miljø FAQ. Byg og Miljø. Version januar 2014 BHE

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Vejledning i tildeling af rettigheder til VandData. Vejledningen henvender sig til Vandselskabers Nem Log-in Administratorer og beskriver, hvordan

Vejledning i at give autorisation til Ejerbogen, Ejerregisteret eller andre indberetninger til det offentlige via Virk.dk

REFERENCEARKITEKTUR FOR SELVBETJENING OG REFERENCEARKITEKTUR FOR SAGS- OG YDELSESOVERBLIK

Følgegruppe for KDF og SP

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

Til høringsparterne Se vedlagte liste

Identitetsbaserede webservices og personlige data

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Supply Chain Sikkerhed

SUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for

Samrådstale (lukket samråd)

--- Driftstatus for

Transkript:

NemLog-in Kenneth Kruuse, projektleder og serviceansvarlig

Hvad er NemLog-in? SSO - med mere

Formålet med NemLog-in Fællesoffentlig infrastruktur bygger ét sted og stiller komponenter gratis til rådighed for myndigheder En sammenhængende og mere omkostningseffektiv sikkerhedsinfrastruktur Ét log-in for borgere og virksomheder til samtlige offentlige selvbetjeningsløsninger Ensartet og kendt sikkerhedsniveau

NemLog-in i tal Årligt ca. 40 mio. log-in Ca. 300 services, bl.a. Borger.dk, Virk.dk, SKAT.dk og Sundhed.dk Ca. 250.000 virksomheder er tilsluttet brugeradministration Foretages op til 10.000 signeringer dagligt

Komponenter i NemLog-in NemLog-in består af: NemLog-in (single sign-on) blev i ny version ibrugtaget ved årsskiftet til 2013 og løbende udvidet med: Brugerrettighedsstyring bl.a. til virksomheder Signering via browser eller webservice Fuldmagt delegering fra borger til borger og borger til virksomhed STS billetveksler Tilslutning administrativt system til tilmelding af nye løsninger og organisationer

Brugerrettighedsstyring (FBRS) Brugerrettighedsstyringen benyttes af ca. 10 myndighedsløsninger i dag, migreret fra Virk.dk s BRS De fleste IT løsninger har brug for en brugeradministration Med den ny fællesoffentlige brugeradministration har myndighederne en komponent der allerede giver dem mulighed for at benytte brugeradministration Sikkerheden er på niveau med øvrig NemLog-in

Signering Logning af stærke signaturbeviser, som kan fremlægges ved en tvist Tjenesten gemmer ikke tekst

Fuldmagt Løsningen gør det muligt, at en borger kan autorisere en repræsentant til at tilgå offentlige selvbetjeningsløsninger og agere på borgerens vegne. Delegeringen kan afgrænses i tid. Der er tale om en basal fuldmagtsløsning, der vil kunne afgrænse på handlingen, objektet og parametre Ved at en borger giver sin repræsentant en digital fuldmagt, kan forvaltningslovens krav om partsrepræsentation realiseres

Sikkerhed i NemLog-in NemLog-in er en sikkerhedsløsning Derfor har der været fokus på sikkerhed fra start, dvs. inden udbud er der foretaget en risikovurdering for at identificere behov for kontroller i løsningen Der er stillet en række krav til sikkerhed i udviklingsforløbet Der er stillet krav om ekstern revision ved idriftssættelse Erfaringspunkter om bl.a. leverandørens modenhed og opfyldelse af krav til logning, fordi logning udgør et væsentligt sikkerhedskrav i NemLog-in

Krav til sikkerhed i udviklingsforløbet Krav i kontrakt om sikker udviklingsmetode - (NIST s "Security Considerations In The Information System Development Life Cycle") Et hovedelement er threath modelling af koden, består af risikovurdering af koden som udvikles. Førte bl.a. til at de mest sikkerhedskritiske komponenter er udviklet i DK, mens andre komponenter er bygget i PH. Andet hovedelement udpege 50-100 såkaldt særlig sårbare krav. I udviklingsprocessen stilles der krav om sporbarhed fra krav til produktbeskrivelse til test.

Krav til sikkerhed i udviklingsforløbet - 2 I praksis skete der pga. tidspres et skift i fokus fra proces til produkt. Digitaliseringsstyrelsen foretog stikprøvekontrol. Krav om et sikkert udviklingsmiljø, der næsten stillede samme krav som til produktionsmiljøet. Dermed var NemLog-in udviklingsmiljø afkoblet fra øvrige miljøer i NNIT. Krav til ekstern revision i udviklingsforløbet. Koden blev sendt til gennemsyn hos tredje part. En (mindre) del af revisionen foregik i DK og en del i et sydamerikansk land, baseret på en risikovurdering. Krav til penetrationstest ved tredjepart kommer først i slutfasen.

Erfaringer og læringspunkter I forhold til at anvende tredjepart til sikkerhedsreview: Et spørgsmål om balance og tillid. Leverandørens modenhed spiller en væsentlig rolle. Konkret var der en række findings i koden og den efterfølgende penetrationstest. Dog intet graverende. Størst værdi i review forløbet gav målrettede angreb af højt kvalificerede folk (hackere). Leverandøren skulle modens på sikkerhedsområdet kendskab til HSM, håndtering af privilegerede brugere (Cyberark), krav til logløsning gav performanceudfordringer, nu faste interne sårbarhedstest (Acunetix) Hellere få meget kompetente folk og ekstern part kan vise modenhed

MERE INFORMATION Chefkonsulent Kenneth Kruuse Tlf. +45 407 333 54 kekru@digst.dk Læs mere eller tilmeld dig vores nyhedsbrev på www.digst.dk/nemlogin

Spørgsmål?

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback